Массовый компромисс цепочки поставок npm внедряет кражу криптовалюты в 18 пакетов
Основное обновление
8 сентября 2025 года злоумышленники скомпрометировали учетную запись npm продуктивного поддерживающего разработчика (Qix / Josh Junon) и опубликовали вредоносные версии в 18 пакетах с общим количеством загрузок в миллиардах за неделю; внедренный код выполняется в браузерах для перехвата API кошельков/сетей и изменения получателей криптовалюты, чтобы средства перенаправлялись на адреса, контролируемые злоумышленниками. (pt.aikido.dev)
Почему это важно
Это не теоретический компромисс репозитория: эти пакеты (chalk, debug, ansi‑styles и несколько небольших, но высоко транзитивных утилит) находятся в огромных графах зависимостей и регулярно включаются в сборки фронтенда. Вредоносный код выполняется только в контексте браузера, поэтому серверы, работающие на Node.js, не выполняли вредоносную логику напрямую, но любая сборка, которая включала зараженные версии и отправляла фронтенд-ресурсы, могла подвергнуть крипто-потоки конечных пользователей риску в течение короткого окна времени. Меры по сдерживанию, предпринятые сообществом и реестром, быстро удалили версии, но восстановление является операционно сложным: командам необходимо зафиксировать и пересобрать артефакты, очистить кэши и CDN, проверить lock-файлы и артефакты развертывания, а также рассматривать это как инцидент в цепочке поставок для реагирования на инциденты и послесловия. (pt.aikido.dev)
Источник
Читать дальше
Node.js v25 запланирован на 2025‑10‑15 — ожидается семантический мажорный релиз
30 сентября 2025 г.Node.js v25 запланирован на 15 октября 2025 года (крайний срок коммитов 2025‑09‑15). Команды должны запускать CI против нового мажора, проверять нативные модули и готовить канареечные деплои.
Azure Functions Proxies: поддержка сообщества заканчивается 2025‑09‑30 — мигрируйте с Proxies сейчас
29 сентября 2025 г.Microsoft объявила, что Azure Functions Proxies не будет поддерживаться после 2025‑09‑30; команды, все еще использующие Proxies, должны немедленно провести инвентаризацию и мигрировать на поддерживаемую API-платформу (APIM, Front Door или легкий обратный прокси).
NodeShield: принудительное соблюдение SBOM в реальном времени (CBOM) для Node.js ограничивает атаки на цепочку поставок с незначительными накладными расходами
28 сентября 2025 г.Новая статья представляет NodeShield, систему принудительного соблюдения в реальном времени, которая использует SBOM, дополненные возможностями по зависимостям (CBOM), чтобы предотвратить злоупотребления в цепочке поставок в Node.js с эффективностью ~98% и накладными расходами <1 мс.