Уязвимость npm-экосистемы позволяет библиотекам избегать проверок
По сообщению компании JFrog, вредоносное ПО, нацеленное на экосистему npm, может уклоняться от проверок безопасности, используя «неожиданное поведение» в инструменте интерфейса командной строки (CLI).
По умолчанию сервис предусматривает проверку пакетов и всех его зависимостей на наличие известных уязвимостей. Однако, как установили исследователи, рекомендации по безопасности не отображаются, если в наименовании пакета есть дефис (например, 1.2.3-a). Таким образом традиционно обозначаются предварительные версии npm-модулей.
Разработчики npm отмечают, что разница в обработке обычных и предварительных версий пакетов — это легитимная функциональность. В то же время, эксперты подчеркивают, что в результате злоумышленники могут внедрять критические уязвимости в продукты либо напрямую, либо через зависимости.
похожие материалы
Пассворк стал первым менеджером паролей в России c сертификацией ФСТЭК
Компания Пассворк объявила о получении сертификата ФСТЭК России № 5063 по 4-му уровню доверия.
Тысячи ИИ-приложений оказались открытыми для всех вместе с пользовательскими данными
Исследователи RedAccess нашли более 5000 веб-приложений, созданных с помощью vibe-coding-инструментов Lovable, Replit, Base44 и Netlify, которые были доступны в открытом интернете почти без защиты.
Google поймала zero-day с ИИ-следами до массовой атаки
Google Threat Intelligence Group сообщила о первом известном ей случае, когда злоумышленники подготовили zero-day-эксплойт, вероятно разработанный с помощью ИИ.
OpenAI открывает ЕС доступ к киберинструментам, но с Anthropic разговор сложнее
Еврокомиссия приветствовала предложение OpenAI открыть доступ к своим киберзащитным возможностям для европейских структур.
iPhone и Android впервые шифруют переписку между собой
Apple и Google запустили сквозное шифрование для RCS-переписок между iPhone и Android.
День борьбы с шифровальщиками: «Лаборатория Касперского» проанализировала атаки программ-вымогателей по всему миру
12 мая — международный День борьбы с шифровальщиками.
В компании «Газинформсервис» оценили риски атак на цепочки поставок из-за роста спроса на смарт-часы в РФ
Российский рынок потребительской электроники столкнулся с неоднозначной тенденцией: россияне стали активнее экономить на смартфонах, одновременно увеличивая траты на смарт-часы.
В Польше произошла массовая утечка медкарт
Польская сеть медицинских лабораторий Optimed предупредила пациентов о кибератаке, после которой злоумышленники могли получить доступ к персональным данным и медицинской информации.
Объем рынка систем резервного копирования в РФ превысил 10 млрд рублей
По данным экспертов компании «Системный софт», объем российского рынка систем резервного копирования по итогам 2025 г.
В России идёт новая волна мошеннических рассылок с использованием QR-кодов
Эксперты «Лаборатории Касперского» предупреждают о новой волне мошеннических рассылок, которые злоумышленники массово отправляют на корпоративные электронные адреса сотрудников компаний.
