npm & Node.js Security ArticlesArticles Sécurité npm & Node.js

CVE analysis, supply chain attacks, audit tools and monitoring guides for the npm and Node.js ecosystem.

Analyse de CVE, attaques supply chain, outils d'audit et guides de monitoring pour l'écosystème npm et Node.js.

Results for Résultats pour

npm npm

npm Dependency Confusion Attacks in 2026: Microsoft’s 33-Package Campaign, Version Inflation & Complete Prevention Guide

Attaques Dependency Confusion npm en 2026 : Campagne 33 Packages Microsoft, Version Inflation & Guide de Prévention Complet

49% of organizations are vulnerable to dependency confusion. Microsoft caught 33 malicious npm packages profiling Windows developer environments in May 2026 — targeting Sberbank’s SberPay widget. How version inflation beats your private registry, and a complete prevention checklist: scoped packages, .npmrc scope pinning, Verdaccio no-proxy config & Dependabot private registry setup.

49% des organisations sont vulnérables à la dependency confusion. Microsoft a détecté 33 packages npm malveillants profilant des environnements Windows en mai 2026 — ciblant le widget SberPay de Sberbank. Comment l’inflation de version bat votre registry privé, et une checklist de prévention complète : packages scopés, épinglage .npmrc, config Verdaccio no-proxy & Dependabot registry privé.

npm npm

npm Lockfile Security in 2026: package-lock.json v3 Integrity, Lockfile Diff Reviews & CI/CD Defense Guide

Sécurité du Lockfile npm en 2026 : Intégrité package-lock.json v3, Revues de Diff & Guide Défense CI/CD

Attackers slip malicious code past SCA scanners by targeting the lockfile itself — not package.json. How the resolved + integrity SHA-512 fields work in v3, what lockfile injection looks like in a PR diff (TanStack/Miasma post-mortems), and a complete CI/CD defense guide: npm ci, npm audit signatures, resolved URL allowlists, lockcheck baseline diffing & CODEOWNERS enforcement.

Les attaquants glissent du code malveillant devant les scanners SCA en ciblant le lockfile lui-même — pas package.json. Comment fonctionnent les champs resolved + integrity SHA-512 en v3, à quoi ressemble l’injection de lockfile dans un diff de PR (post-mortems TanStack/Miasma), et un guide CI/CD complet : npm ci, npm audit signatures, listes d’autorisation URL resolved, diffing baseline lockcheck & enforcement CODEOWNERS.

npm npm

npm Provenance Attestations & SLSA Build Level 3 in 2026: What Mini Shai-Hulud Forged and What Would Have Stopped It

Attestations de Provenance npm & SLSA Build Level 3 en 2026 : Ce que Mini Shai-Hulud a Forgé et Ce Qui L’Aurait Arrêté

npm --provenance achieves SLSA Build Level 2, not L3. Mini Shai-Hulud (TanStack, May 11, 2026) produced cryptographically valid Sigstore attestations by hijacking the pipeline itself — OIDC token extracted from runner memory, cache poisoned, 84 malicious packages published in <6 minutes (CVE-2026-45321 CVSS 9.6). OpenSSF’s June 10 post-mortem explains the L2/L3 boundary. Complete developer guide: how to verify provenance with cosign & slsa-verifier, publish with SLSA L2, and harden your CI/CD against the exact vectors used.

npm --provenance atteint le SLSA Build Level 2, pas L3. Mini Shai-Hulud (TanStack, 11 mai 2026) a produit des attestations Sigstore cryptographiquement valides en s’emparant du pipeline lui-même — token OIDC extrait depuis la mémoire du runner, cache empoisonné, 84 packages malveillants publiés en <6 min (CVE-2026-45321 CVSS 9.6). Le post-mortem OpenSSF du 10 juin explique la frontière L2/L3. Guide développeur complet : vérifier la provenance avec cosign & slsa-verifier, publier en SLSA L2, durcir votre CI/CD contre les vecteurs exacts utilisés.

npm npm

npm Supply Chain Canary Tokens in 2026: Honey Packages, CI/CD Tripwires & Full Detection Guide

Canary Tokens Supply Chain npm en 2026 : Honey Packages, Tripwires CI/CD & Guide Complet de Détection

454K+ malicious npm packages in 2025 (Sonatype). Miasma, Phantom Gyp & TanStack attacks steal npm tokens in <6 minutes. Canary credentials in CI/CD runners alert you the moment stolen credentials are used — 267 days faster than the industry average. Full 2026 guide: Tracebit GitHub Action, hasInstallScript lockfile tripwire, Yarn Berry enableHardenedMode, OpenSSF Package Analysis & layered detection pipeline.

454K+ packages npm malveillants en 2025 (Sonatype). Les attaques Miasma, Phantom Gyp & TanStack volènt les tokens npm en <6 minutes. Les canary credentials dans les runners CI/CD vous alertent dès que les credentials volés sont utilisés — 267 jours plus vite que la moyenne industrie. Guide complet 2026 : GitHub Action Tracebit, tripwire lockfile hasInstallScript, Yarn Berry enableHardenedMode, OpenSSF Package Analysis & pipeline de détection en couches.

npm npm

Miasma Wave 3 in 2026: Self-Replicating Worm Hits 73 Microsoft Azure GitHub Repos — AI Coding Agents as the Attack Surface

Miasma Vague 3 en 2026 : Le Ver Auto-Réplicant Frappe 73 Dépôts GitHub Microsoft Azure — Les Agents IA comme Surface d’Attaque

June 5, 2026: Miasma’s self-replicating worm reached Microsoft — 73 Azure GitHub repositories disabled in 105 seconds. A 4.3 MB Bun payload fires automatically when developers open infected repos in Claude Code, Gemini CLI, Cursor, or VS Code. durabletask PyPI SDK versions 1.4.1–1.4.3 are malicious. Full attack chain, credential harvesting targets & remediation checklist.

5 juin 2026 : Le ver auto-réplicant Miasma a frappé Microsoft — 73 dépôts GitHub Azure désactivés en 105 secondes. Une payload Bun de 4,3 Mo se déclenche automatiquement quand les développeurs ouvrent des dépôts infectés dans Claude Code, Gemini CLI, Cursor ou VS Code. SDK PyPI durabletask versions 1.4.1–1.4.3 malveillantes. Chaîne d’attaque complète & checklist de remédiation.

npm npm

AI Developer Tools Supply Chain Attack in 2026: codexui-android, TrapDoor & Protecting Your AI Coding Stack

Attaque Supply Chain sur les Outils IA Développeurs en 2026 : codexui-android, TrapDoor & Comment Protéger Votre Stack IA

codexui-android (29K weekly downloads) silently stole OpenAI Codex OAuth refresh tokens for 30+ days — non-expiring access to victim accounts. TrapDoor planted hidden zero-width Unicode instructions in CLAUDE.md & .cursorrules across 34 packages (npm + PyPI + Crates.io) to trick AI assistants into credential exfiltration. Three campaigns, one pattern: AI developer tool files are now prime supply chain targets.

codexui-android (29K téléchargements/sem) a volé silencieusement des tokens OAuth OpenAI Codex pendant 30+ jours — accès sans expiration aux comptes victimes. TrapDoor a planté des instructions Unicode invisibles dans CLAUDE.md & .cursorrules sur 34 packages (npm + PyPI + Crates.io) pour tromper les assistants IA en exfiltration de credentials. Trois campagnes, un pattern : les fichiers d’outils IA développeurs sont désormais des cibles supply chain prioritaires.

npm npm

Phantom Gyp Wave 2 in 2026: Miasma npm Worm Hits @vapi-ai/server-sdk, ai-sdk-ollama & 57 Packages

Phantom Gyp Vague 2 en 2026 : Ver npm Miasma sur @vapi-ai/server-sdk, ai-sdk-ollama & 57 Packages

June 3, 2026 : 57 npm packages compromised in <60 minutes via binding.gyp — @vapi-ai/server-sdk (408K downloads/month) hit first, then ai-sdk-ollama (120K) & 55 more. The worm propagated through developer workstations (not CI/CD), backdoored AI coding assistants (.claude, .cursor, .gemini configs), and installs a dead-man’s switch that wipes your home directory if you revoke the stolen token. Detection & remediation guide.

3 juin 2026 : 57 packages npm compromis en <60 min via binding.gyp — @vapi-ai/server-sdk (408K téléchargements/mois) touche en premier, puis ai-sdk-ollama (120K) & 55 autres. Le ver s’est propagé via les postes développeurs (pas le CI/CD), a backdooré les assistants IA (.claude, .cursor, .gemini) et installe un interrupteur homme-mort qui efface votre home si vous révoquez le token volé. Guide de détection & remédiation.

npm npm

Miasma npm Supply Chain Attack in 2026: Red Hat @redhat-cloud-services, Phantom Gyp & SLSA Provenance Bypass

Attaque Supply Chain npm Miasma en 2026 : Red Hat @redhat-cloud-services, Phantom Gyp & Bypass Provenance SLSA

June 1, 2026: 32 @redhat-cloud-services npm packages backdoored via a compromised Red Hat employee GitHub account & GitHub Actions OIDC tokens. Phantom Gyp — a 157-byte binding.gyp — bypasses --ignore-scripts entirely. Credential-stealing worm with forged SLSA provenance harvests SSH keys, AWS/GCP/Azure credentials, Vault tokens & K8s secrets. Full remediation checklist.

1er juin 2026 : 32 packages npm @redhat-cloud-services backdoorés via un compte GitHub d’employé Red Hat compromis & des tokens OIDC GitHub Actions. Phantom Gyp — un binding.gyp de 157 octets — contourne complètement --ignore-scripts. Ver vol de credentials avec provenance SLSA forgée, ciblant clés SSH, credentials AWS/GCP/Azure, tokens Vault & secrets K8s. Checklist de remédiation complète.

npm npm

npm package.json Security Best Practices in 2026: Lifecycle Scripts, Lockfile Integrity & Provenance Guide

Meilleures Pratiques de Sécurité package.json npm en 2026 : Scripts Lifecycle, Intégrité Lockfile & Guide Provenance

454,648 malicious npm packages in 2025. postinstall hooks compromised Axios (100M dl/week), Bitwarden CLI & TanStack in 2026. Complete guide: scripts hardening, lockfile integrity, overrides for transitive CVEs, private registry .npmrc config & provenance attestation — only 12% of top packages ship with it.

454 648 packages npm malveillants en 2025. Les hooks postinstall ont compromis Axios (100M dl/sem), Bitwarden CLI & TanStack en 2026. Guide complet : durcissement des scripts, intégrité lockfile, overrides pour CVE transitives, config .npmrc registre privé & attestations de provenance — seulement 12% des top packages les embarquent.

npm npm

TanStack npm Supply Chain Attack in 2026: CVE-2026-45321 (CVSS 9.6), Mini Shai-Hulud Worm & CI/CD Hardening Guide

Attaque Supply Chain npm TanStack en 2026 : CVE-2026-45321 (CVSS 9.6), Ver Mini Shai-Hulud & Comment Protéger Votre CI/CD

CVE-2026-45321 (CVSS 9.6): 84 malicious @tanstack/* versions published in 6 minutes on May 11, 2026 via GitHub Actions OIDC token theft — the first npm worm to bypass SLSA Build Level 3 provenance. 518M+ cumulative downloads affected across 170+ npm & PyPI packages. Pull_request_target attack chain explained & full CI/CD hardening checklist.

CVE-2026-45321 (CVSS 9.6) : 84 versions malveillantes @tanstack/* publiées en 6 minutes le 11 mai 2026 via vol de token OIDC GitHub Actions — premier ver npm à contourner la provenance SLSA Build Level 3. 518M+ téléchargements cumulés affectés sur 170+ packages npm & PyPI. Chaîne d’attaque pull_request_target expliquée & guide de durcissement CI/CD complet.

npm npm

TypeScript & Deno Security Vulnerabilities in 2026: CVE-2026-32260 Command Injection Chain & Hardening Guide

Vulnérabilités TypeScript & Deno en 2026 : Chaîne d’Injection CVE-2026-32260 & Guide de Durcissement

Deno patched 4 CVEs between January and May 2026 — CVE-2026-32260 (CVSS 8.1) bypasses the fix for CVE-2026-27190 via backtick substitution in double-quoted arguments, CVE-2026-41690 (CVSS 8.6) lets unauthenticated clients pollute Object.prototype. TypeScript type confusion pitfalls, deno.lock & import maps hardening guide.

Deno a corrigé 4 CVE entre janvier et mai 2026 — CVE-2026-32260 (CVSS 8.1) contourne le correctif de CVE-2026-27190 via la substitution par guillemets obliques dans des arguments entre guillemets doubles, CVE-2026-41690 (CVSS 8.6) permet à des clients non authentifiés de polluer Object.prototype. Pièges de confusion de types TypeScript, guide de durcissement deno.lock & import maps.

npm npm

OpenSSL & Node.js TLS Security in 2026: CVE-2026-2673 (Post-Quantum Fallback), 12 OpenSSL CVEs & Production Hardening Guide

Sécurité OpenSSL & TLS dans Node.js en 2026 : CVE-2026-2673 (Repli Post-Quantique), 12 CVE OpenSSL & Guide de Durcissement

OpenSSL’s January 2026 advisory disclosed 12 CVEs — CVE-2025-15467 (High, RCE-class buffer overflow in CMS AEAD) & CVE-2025-11187 (Moderate, PKCS#12 DoS). CVE-2026-2673 silently downgrades post-quantum TLS 1.3 from X25519MLKEM768 to classical X25519 on OpenSSL 3.5/3.6. Full production TLS 1.3 config, HSTS & certificate management guide.

L’advisory OpenSSL de janvier 2026 divulgue 12 CVE — CVE-2025-15467 (High, buffer overflow RCE dans CMS AEAD) & CVE-2025-11187 (Moderate, DoS PKCS#12). CVE-2026-2673 dégrade silencieusement le TLS 1.3 post-quantique de X25519MLKEM768 vers X25519 classique sur OpenSSL 3.5/3.6. Configuration TLS 1.3, HSTS & gestion des certificats en production.

Monitor your dependencies automatically

Surveillez vos dépendances automatiquement

Upload your lockfiles and get instant CVE alerts. No code access required.

Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.

Start your 14-day free trial Demarrer l'essai gratuit 14 jours