NPM
npm & Node.js Security ArticlesArticles Sécurité npm & Node.js
CVE analysis, supply chain attacks, audit tools and monitoring guides for the npm and Node.js ecosystem.
Analyse de CVE, attaques supply chain, outils d'audit et guides de monitoring pour l'écosystème npm et Node.js.
Results for Résultats pour
No articles matched your search
Aucun article ne correspond à votre recherche
TanStack npm Supply Chain Attack in 2026: CVE-2026-45321 (CVSS 9.6), Mini Shai-Hulud Worm & CI/CD Hardening Guide
Attaque Supply Chain npm TanStack en 2026 : CVE-2026-45321 (CVSS 9.6), Ver Mini Shai-Hulud & Comment Protéger Votre CI/CD
CVE-2026-45321 (CVSS 9.6): 84 malicious @tanstack/* versions published in 6 minutes on May 11, 2026 via GitHub Actions OIDC token theft — the first npm worm to bypass SLSA Build Level 3 provenance. 518M+ cumulative downloads affected across 170+ npm & PyPI packages. Pull_request_target attack chain explained & full CI/CD hardening checklist.
CVE-2026-45321 (CVSS 9.6) : 84 versions malveillantes @tanstack/* publiées en 6 minutes le 11 mai 2026 via vol de token OIDC GitHub Actions — premier ver npm à contourner la provenance SLSA Build Level 3. 518M+ téléchargements cumulés affectés sur 170+ packages npm & PyPI. Chaîne d’attaque pull_request_target expliquée & guide de durcissement CI/CD complet.
npm npmTypeScript & Deno Security Vulnerabilities in 2026: CVE-2026-32260 Command Injection Chain & Hardening Guide
Vulnérabilités TypeScript & Deno en 2026 : Chaîne d’Injection CVE-2026-32260 & Guide de Durcissement
Deno patched 4 CVEs between January and May 2026 — CVE-2026-32260 (CVSS 8.1) bypasses the fix for CVE-2026-27190 via backtick substitution in double-quoted arguments, CVE-2026-41690 (CVSS 8.6) lets unauthenticated clients pollute Object.prototype. TypeScript type confusion pitfalls, deno.lock & import maps hardening guide.
Deno a corrigé 4 CVE entre janvier et mai 2026 — CVE-2026-32260 (CVSS 8.1) contourne le correctif de CVE-2026-27190 via la substitution par guillemets obliques dans des arguments entre guillemets doubles, CVE-2026-41690 (CVSS 8.6) permet à des clients non authentifiés de polluer Object.prototype. Pièges de confusion de types TypeScript, guide de durcissement deno.lock & import maps.
npm npmOpenSSL & Node.js TLS Security in 2026: CVE-2026-2673 (Post-Quantum Fallback), 12 OpenSSL CVEs & Production Hardening Guide
Sécurité OpenSSL & TLS dans Node.js en 2026 : CVE-2026-2673 (Repli Post-Quantique), 12 CVE OpenSSL & Guide de Durcissement
OpenSSL’s January 2026 advisory disclosed 12 CVEs — CVE-2025-15467 (High, RCE-class buffer overflow in CMS AEAD) & CVE-2025-11187 (Moderate, PKCS#12 DoS). CVE-2026-2673 silently downgrades post-quantum TLS 1.3 from X25519MLKEM768 to classical X25519 on OpenSSL 3.5/3.6. Full production TLS 1.3 config, HSTS & certificate management guide.
L’advisory OpenSSL de janvier 2026 divulgue 12 CVE — CVE-2025-15467 (High, buffer overflow RCE dans CMS AEAD) & CVE-2025-11187 (Moderate, DoS PKCS#12). CVE-2026-2673 dégrade silencieusement le TLS 1.3 post-quantique de X25519MLKEM768 vers X25519 classique sur OpenSSL 3.5/3.6. Configuration TLS 1.3, HSTS & gestion des certificats en production.
npm npmNode.js & Express Security Vulnerabilities in 2026: 16 CVEs, Node 20 EOL & Hardening Guide
Vulnérabilités Node.js & Express en 2026 : 16 CVE, EOL Node 20 & Guide de Durcissement
Node.js patched 16 CVEs in Q1 2026 — CVE-2026-21637 crashes TLS servers with a single malformed SNI packet (High), CVE-2026-21710 brings down HTTP servers via a __proto__ header (High), CVE-2026-4867/4923 bring ReDoS back to Express routing. Node.js 20 reached EOL April 30, 2026. Full hardening guide with helmet.js and express-rate-limit.
Node.js a corrigé 16 CVE au T1 2026 — CVE-2026-21637 crashe les serveurs TLS avec un seul paquet SNI mal formé (High), CVE-2026-21710 fait tomber les serveurs HTTP via un header __proto__ (High), CVE-2026-4867/4923 réintroduisent le ReDoS dans le routage Express. Node.js 20 en fin de vie le 30 avril 2026. Guide de durcissement complet avec helmet.js et express-rate-limit.
Vite.js Security Vulnerabilities in 2026: CVE-2025-30208, CISA KEV & The Recurring WebSocket File Read Problem
Vulnérabilités Vite.js en 2026 : CVE-2025-30208, CISA KEV & Le Problème Récurrent de Lecture de Fichiers via WebSocket
4 file-read CVEs in Vite’s dev server in 18 months. CVE-2025-31125 added to CISA KEV January 2026 — active exploitation confirmed. CVE-2026-39363 CVSS 8.2 bypasses all HTTP access controls via WebSocket. Full developer guide with verified data.
4 CVE de lecture de fichiers dans le serveur de développement Vite en 18 mois. CVE-2025-31125 ajoutée au CISA KEV en janvier 2026 — exploitation active confirmée. CVE-2026-39363 CVSS 8.2 contourne tous les contrôles d’accès HTTP via WebSocket. Guide complet avec données vérifiées.
npm npmnpm Semver Vulnerabilities & Range Exploits in 2026: ^1.0.0 Risks, CVE-2022-25883 & Defense Guide
Vulnérabilités Semver npm en 2026 : Risques ^1.0.0, CVE-2022-25883 & Guide de Défense
The semver package gets 643M downloads/week — CVE-2022-25883 cascaded to thousands of packages. Caret ranges let attackers slip malicious minor versions past your lockfile. Full 2026 guide with real incidents and verified data.
Le package semver reçoit 643M téléchargements/semaine — CVE-2022-25883 a cascadé vers des milliers de packages. Les ranges caret permettent aux attaquants de glisser des versions mineures malveillantes dans votre lockfile. Guide complet 2026.
npm npmnpm Self-Propagating Worms in 2026: CanisterWorm, Bitwarden CLI & How TeamPCP Turns Developers into Malware Vectors
Vers Auto-Propagants npm en 2026 : CanisterWorm, Bitwarden CLI & Comment TeamPCP Transforme les Développeurs en Vecteurs de Malware
April 22, 2026: CanisterWorm backdoored Namastex npm packages while @bitwarden/cli@2026.4.0 was live on npm for 93 minutes. Both attacks by TeamPCP. How self-propagating worms steal tokens, infect dozens of packages in minutes, and how to protect your stack.
Le 22 avril 2026 : CanisterWorm backdooré les packages npm de Namastex pendant que @bitwarden/cli@2026.4.0 était en ligne 93 minutes. Les deux attaques par TeamPCP. Comment les vers auto-propagants voléent les tokens et infectent des dizaines de packages en minutes.
npm npmnpm Lockfile Poisoning in 2026: How Attackers Hijack package-lock.json & yarn.lock
Lockfile Poisoning npm en 2026 : Comment les attaquants détournent package-lock.json & yarn.lock
The Axios RAT hid in a lockfile entry for 2h54. 111 Dependabot PRs propagated it, 60% auto-merged. How lockfile poisoning works, npm ci vs npm install, lockfile-lint, and Socket.dev — with verified sources.
Le RAT Axios s’est caché dans une entrée de lockfile pendant 2h54. 111 PRs Dependabot l’ont propagé, 60% auto-mergées. Mécanisme de l’attaque, npm ci vs npm install, lockfile-lint et Socket.dev.
npm npmDependabot vs Renovate in 2026: Comparison, Supply Chain Risks & The CVE Gap No Bot Covers
Dependabot vs Renovate en 2026 : Comparaison Complète, Risques Supply Chain & L’angle mort CVE qu’aucun bot ne couvre
111 Dependabot PRs and 30 Renovate PRs helped spread the Axios malware in under 1 hour. 60% were auto-merged with zero human review. Full feature comparison, safe auto-merge config, and the CVE monitoring gap that no update bot covers.
111 PR Dependabot et 30 PR Renovate ont contribué à propager le malware Axios en moins d’1 heure. 60% ont été auto-mergées sans revue humaine. Comparaison complète des fonctionnalités, config auto-merge sûre, et l’angle mort CVE qu’aucun bot de mise à jour ne couvre.
Next.js Next.jsNext.js Security Vulnerabilities in 2026: React2Shell & What to Do
Vulnérabilités Next.js en 2026 : React2Shell et Comment Réagir
CVE-2025-55182 (CVSS 10.0) gave attackers unauthenticated RCE on every default Next.js install. 766 servers breached. Full breakdown of every 2026 vulnerability and how to patch.
CVE-2025-55182 (CVSS 10.0) offrait aux attaquants un RCE non authentifié sur toute installation Next.js par défaut. 766 serveurs compromis. Tour complet des vulnérabilités 2026 et comment patcher.
npm npmnpm Typosquatting & AI Tools in 2026: SANDWORM_MODE and Slopsquatting
Typosquatting npm & Outils IA en 2026 : SANDWORM_MODE et Slopsquatting
19 packages targeting Claude Code, Cursor & Windsurf. Plus: slopsquatting — when your AI assistant hallucinates a malicious package name. Real incidents, real defenses.
19 packages ciblant Claude Code, Cursor & Windsurf. Et le slopsquatting — quand votre assistant IA hallucine un nom de package malveillant. Incidents réels, défenses concrètes.
npm npmnpm Supply Chain Attacks in 2026: How to Protect Your Projects
Attaques Supply Chain npm en 2026 : Comment Protéger Vos Projets
Axios, Shai-Hulud, The Great NPM Heist — 454,648 malicious packages in 2025 alone. Real incidents, attack patterns, and concrete defenses for Node.js developers.
Axios, Shai-Hulud, le Grand Vol npm — 454 648 packages malveillants en 2025. Incidents réels, vecteurs d'attaque et défenses concrètes pour les développeurs Node.js.
Monitor your dependencies automatically
Surveillez vos dépendances automatiquement
Upload your lockfiles and get instant CVE alerts. No code access required.
Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.
Start your 14-day free trial Demarrer l'essai gratuit 14 jours