NPM
npm & Node.js Security ArticlesArticles Sécurité npm & Node.js
CVE analysis, supply chain attacks, audit tools and monitoring guides for the npm and Node.js ecosystem.
Analyse de CVE, attaques supply chain, outils d'audit et guides de monitoring pour l'écosystème npm et Node.js.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
PolinRider Supply Chain Attack in 2026: 108 Malicious Packages Across npm, Packagist, Go & Chrome
Attaque Supply Chain PolinRider en 2026 : 108 Packages Malveillants sur npm, Packagist, Go & Chrome
North Korea’s Contagious Interview cluster published 162 malicious release artifacts — 61 Go modules, 19 npm libraries, 10 Composer packages and a Chrome extension. Blockchain RPC as C2 (TRON, Aptos, BNB), code injected into tailwind/postcss/eslint configs, and VS Code folderOpen tasks that fire when you open the repo. Full attack chain analysis & defense checklist.
Le cluster nord-coréen Contagious Interview a publié 162 artefacts malveillants — 61 modules Go, 19 bibliothèques npm, 10 packages Composer et une extension Chrome. RPC blockchain comme C2 (TRON, Aptos, BNB), code injecté dans les configs tailwind/postcss/eslint, et tâches VS Code folderOpen déclenchées à l’ouverture du repo. Analyse complète de la chaîne d’attaque & checklist de défense.
npm npmLazarus npm Attack in 2026: Fake Rollup Polyfill Packages Hide a Full RAT & Bypass npm v12
Attaque npm Lazarus en 2026 : de Faux Packages Rollup Polyfill Cachent un RAT Complet & Contournent npm v12
Six malicious npm packages impersonated rollup-plugin-polyfill-node (295K dl/week) with cloned READMEs and working polyfill code — then fired at import time, sidestepping npm v12’s install script blocking. Remote payloads invisible to registry scanners, clean ESM entry points, full RAT with clipboard monitoring. JFrog attributes the July 2026 campaign to Lazarus. Complete analysis & defense checklist.
Six packages npm malveillants imitaient rollup-plugin-polyfill-node (295K téléchargements/semaine) avec READMEs clonés et code polyfill fonctionnel — puis se déclenchaient à l’import, contournant le blocage des scripts d’installation de npm v12. Payloads distants invisibles aux scanners, points d’entrée ESM propres, RAT complet avec surveillance du presse-papiers. JFrog attribue la campagne de juillet 2026 à Lazarus. Analyse complète & checklist de défense.
npm npmState of npm Supply Chain Security — H1 2026 Retrospective: Axios, TanStack, Miasma & What Changes Now
État de la Supply Chain npm — Rétrospective H1 2026 : Axios, TanStack, Miasma & Ce Qui Change Maintenant
H1 2026 was the worst half-year for npm supply chain attacks on record: 37 campaigns, 497 malicious packages, 4.5× the volume of all of 2025. Axios (100M dl/week) compromised via social engineering, TanStack (84 packages in 6 min, forged SLSA provenance), node-ipc (expired domain account takeover), Miasma Waves 1–3 (Red Hat, @vapi-ai, Microsoft Azure). Full incident analysis, attack pattern matrix & H2 2026 defense checklist.
Le H1 2026 a été le pire semestre jamais enregistré pour les attaques supply chain npm : 37 campagnes, 497 packages malveillants, 4,5× le volume de toute l’année 2025. Axios (100M téléchargements/semaine) compromis par ingénierie sociale, TanStack (84 packages en 6 min, provenance SLSA forgée), node-ipc (prise de contrôle via domaine expiré), Miasma Vagues 1–3 (Red Hat, @vapi-ai, Microsoft Azure). Analyse complète des incidents, matrice des vecteurs d’attaque & checklist de défense H2 2026.
npm npmpnpm Security & Hardening in 2026: 8 CVEs, Credential Leakage via .npmrc & the pnpm 11 Supply Chain Defaults
Sécurité & Durcissement de pnpm en 2026 : 8 CVE, Fuite d’Identifiants via .npmrc & les Défauts Supply Chain de pnpm 11
pnpm fixed 8 CVEs in the first half of 2026 — including CVE-2026-50017 (critical credential leakage sending your npm token to attacker registries) and CVE-2026-55180 (env secret exfiltration via repository .npmrc, CVSS 7.4). Full hardening guide: pnpm 11 defaults (minimumReleaseAge, strictDepBuilds, blockExoticSubdeps), lockfile integrity verification, token hygiene and CI/CD checklist.
pnpm a corrigé 8 CVE au premier semestre 2026 — dont CVE-2026-50017 (fuite critique d’identifiants envoyant votre token npm vers des registres attaquants) et CVE-2026-55180 (exfiltration de secrets env via le .npmrc du dépôt, CVSS 7.4). Guide de durcissement complet : défauts pnpm 11 (minimumReleaseAge, strictDepBuilds, blockExoticSubdeps), vérification d’intégrité du lockfile, hygiène des tokens et checklist CI/CD.
npm npmBun Runtime Security in 2026: CVE-2026-24910 Trusted Deps Spoofing, Bun-Based Stealers & Cross-Runtime Guide
Sécurité du Runtime Bun en 2026 : CVE-2026-24910 Usurpation de Dépendances de Confiance, Stealers Basés sur Bun & Guide Cross-Runtime
CVE-2026-24910 lets attackers spoof Bun’s trusted dependencies list via file/git protocols to execute lifecycle scripts silently (fixed in Bun 1.3.5). Attackers also weaponize Bun as a stealer runtime in SAP Mini Shai-Hulud (4 packages, April 2026) and PyTorch Lightning PyPI (311K downloads/day). Full guide: trusted deps hardening, bun.lock integrity, Security Scanner API, Bun Shell safe patterns, and Bun vs Node.js 24 vs Deno security comparison.
CVE-2026-24910 permet aux attaquants d’usurper la liste des dépendances de confiance de Bun via les protocoles file/git pour exécuter silencieusement des scripts de cycle de vie (corrigé dans Bun 1.3.5). Les attaquants utilisent aussi Bun comme runtime de stealer dans SAP Mini Shai-Hulud (4 packages, avril 2026) et PyTorch Lightning PyPI (311K téléchargements/jour). Guide complet : durcissement des dépendances de confiance, intégrité bun.lock, Security Scanner API, patterns sûrs Bun Shell et comparaison sécurité Bun vs Node.js 24 vs Deno.
npm npmNode.js 24 LTS Security Guide 2026: Post-Quantum TLS, npm v12 Bundled & Migration from Node 22
Guide Sécurité Node.js 24 LTS en 2026 : TLS Post-Quantique, npm v12 Intégré & Migration depuis Node 22
Node.js 24 Krypton LTS ships OpenSSL 3.5 with NIST post-quantum crypto (ML-KEM FIPS 203, ML-DSA FIPS 204), bundles npm v12 (install scripts blocked by default), and stabilizes TypeScript type stripping. 20+ CVEs patched in 2026 including CVE-2026-48618 (TLS wildcard bypass CVSS 7.7) and CVE-2026-48933 (WebCrypto 2 GiB crash). Complete guide: post-quantum TLS setup, npm v12 migration, V8 13.6 breaking changes, and Node 22→24 migration checklist.
Node.js 24 Krypton LTS embarque OpenSSL 3.5 avec la crypto post-quantique NIST (ML-KEM FIPS 203, ML-DSA FIPS 204), intègre npm v12 (scripts d’installation bloqués par défaut) et stabilise le stripping de types TypeScript. Plus de 20 CVE corrigées en 2026 dont CVE-2026-48618 (bypass wildcard TLS CVSS 7.7) et CVE-2026-48933 (crash WebCrypto 2 Gio). Guide complet : configuration TLS post-quantique, migration npm v12, breaking changes V8 13.6 et checklist de migration Node 22→24.
npm npmNode.js 22 Security Guide 2026: Stable Permission Model, 3 Bypass CVEs & Node 24 Upgrade Path
Guide Sécurité Node.js 22 en 2026 : Permission Model Stable, 3 CVE de Bypass & Chemin vers Node 24
Node.js 22 Permission Model became Stable in v22.13.0. The June 18, 2026 release (v22.23.0) then patched 12 CVEs — including CVE-2026-48618 (TLS wildcard bypass CVSS 7.7), CVE-2026-48933 (WebCrypto 2 GiB crash) and 3 Permission Model bypasses (CVE-2026-48617, -48935, -48936). Full developer guide: Permission Model setup, native WebSocket & Web Crypto API, Node 22 vs Node 24 decision, and a complete hardening checklist.
Le Permission Model de Node.js 22 est passé en Stable depuis la v22.13.0. La release du 18 juin 2026 (v22.23.0) a ensuite corrigé 12 CVE — dont CVE-2026-48618 (bypass wildcard TLS CVSS 7.7), CVE-2026-48933 (crash WebCrypto 2 Gio) et 3 bypass du Permission Model (CVE-2026-48617, -48935, -48936). Guide développeur complet : configuration du Permission Model, WebSocket & Web Crypto API natifs, guide de choix Node 22 vs Node 24, et checklist de durcissement complète.
npm npmNode.js 20 is EOL: 12 CVEs Unpatched, AWS Lambda August Deadline & Migration Guide to Node 22/24
Node.js 20 en fin de vie : 12 CVE sans correctif, Déadline AWS Lambda août & Guide de Migration vers Node 22/24
Node.js 20 hit EOL April 30, 2026 — and the June 18 patch batch fixed 12 CVEs (CVE-2026-48618 TLS wildcard bypass CVSS 7.7, CVE-2026-48933 WebCrypto 2 GiB crash) that Node 20 will never receive. AWS Lambda blocks new nodejs20.x function creation on August 31 and function updates on September 30. Breaking changes Node 20→22, Node 22 vs Node 24 decision guide, and a step-by-step migration checklist.
Node.js 20 a atteint sa fin de vie le 30 avril 2026 — et le lot de correctifs du 18 juin a corrigé 12 CVE (CVE-2026-48618 bypass TLS wildcard CVSS 7.7, CVE-2026-48933 crash WebCrypto 2 Gio) que Node 20 ne recevra jamais. AWS Lambda bloque la création de nouvelles fonctions nodejs20.x le 31 août et les mises à jour le 30 septembre. Breaking changes Node 20→22, guide de choix Node 22 vs Node 24, et checklist de migration étape par étape.
npm v12 Full Migration Guide in 2026: Allowlist Setup, prebuildify & Team Rollout Checklist
Guide Complet de Migration npm v12 en 2026 : Allowlist, prebuildify & Checklist Équipe
npm v12 (July 2026) blocks install scripts, Git dependencies & remote URLs by default. Step-by-step migration guide: build your allowScripts allowlist with npm approve-scripts, migrate native modules from deprecated prebuild-install to prebuildify, update CI/CD pipelines, and roll out the change across your team before the July deadline.
npm v12 (juillet 2026) bloque les scripts d’installation, les dépendances Git et les URL distantes par défaut. Guide de migration étape par étape : construire votre allowlist allowScripts avec npm approve-scripts, migrer les modules natifs de prebuild-install (déprécié) vers prebuildify, mettre à jour les pipelines CI/CD et déployer le changement dans toute l’équipe avant la deadline de juillet.
npm Install Scripts Security in 2026: Phantom Gyp Bypass, npm v12 July Deadline & Migration Guide
Sécurité des Scripts d’Installation npm en 2026 : Bypass Phantom Gyp, Déadline npm v12 & Guide de Migration
npm v12 (July 2026) disables preinstall/postinstall by default — including the implicit node-gyp rebuild triggered by binding.gyp. The Phantom Gyp technique already bypassed --ignore-scripts to compromise 57 packages in June 2026. How to audit your dependency tree with npm 11.16.0, migrate native modules to prebuildify, build your allowlist, and detect install scripts in lockfiles.
npm v12 (juillet 2026) désactive preinstall/postinstall par défaut — y compris le rebuild node-gyp implicite déclenché par binding.gyp. La technique Phantom Gyp a déjà court-circuité --ignore-scripts pour compromettre 57 packages en juin 2026. Comment auditer votre arbre de dépendances avec npm 11.16.0, migrer les modules natifs vers prebuildify, construire votre liste d’autorisation et détecter les scripts dans les lockfiles.
npm Maintainer Account Security & 2FA Enforcement in 2026: Mastra Post-Mortem, Staged Publishing & Offboarding Guide
Sécurité des Comptes Mainteneurs npm & Application de la 2FA en 2026 : Post-Mortem Mastra, Publication par Étapes & Guide de Désinscription
A forgotten npm contributor account (ehindero, inactive 16 months) compromised all 143 @mastra packages — including @mastra/core (4M downloads/month) — on June 17, 2026. Complete 2026 guide: quarterly maintainer audit playbook, npm org 2FA enforcement (auth-and-writes), staged publishing approval gate (GA May 22), TOTP → FIDO/passkey migration, 90-day token cap & audit log monitoring for burst publish detection.
Un compte contributeur npm oublié (ehindero, inactif 16 mois) a compromis les 143 packages @mastra — dont @mastra/core (4M téléchargements/mois) — le 17 juin 2026. Guide complet 2026 : playbook d’audit trimestriel des mainteneurs, application 2FA org npm (auth-and-writes), portail d’approbation publication par étapes (GA 22 mai), migration TOTP → FIDO/passkey, plafond 90 jours & surveillance des journaux d’audit pour détection de rafales de publication.
npm Scoped Packages & Private Registry Security in 2026: The @mastra Scope Takeover, Verdaccio Hardening & Token Rotation Guide
Sécurité des Packages Scopés npm et Registry Privé en 2026 : Prise de Contrôle du Scope @mastra, Durcissement Verdaccio & Rotation des Tokens
The @mastra npm scope was hijacked June 17, 2026 via a single stale contributor account — 143 packages compromised including @mastra/core (4M downloads/month). How npm scope takeovers work in 2026 (@antv, @redhat-cloud-services, @mastra), Verdaccio hardening guide with proxy: [], GitHub Packages vs Artifactory comparison, 90-day token cap enforcement & OIDC Trusted Publishing setup.
Le scope npm @mastra a été détourné le 17 juin 2026 via un seul compte contributeur obsolète — 143 packages compromis dont @mastra/core (4M téléchargements/mois). Comment fonctionnent les prises de contrôle de scope npm en 2026 (@antv, @redhat-cloud-services, @mastra), guide de durcissement Verdaccio avec proxy: [], comparaison GitHub Packages vs Artifactory, plafond 90 jours sur les tokens & configuration Publication de Confiance OIDC.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours