10.06.2026 Новости, БезопасностьЭксперты компании «Информзащита» зафиксировали рост обращений, связанных с проверкой npm-зависимостей и расследованием подозрительной активности в цепочках поставки ПО. В январе-мае 2026 года их количество выросло на 42% по сравнению с аналогичным периодом 2025 года. Изменился и характер запросов: компании стали чаще обращаться не после подтвержденной компрометации, а на этапе раннего анализа риска, когда вредоносная версия уже появилась в экосистеме, но еще не успела попасть в продуктивный контур. По данным анализа «Информзащиты», доля таких превентивных запросов выросла с 31% до 54%, а число случаев, где потенциально опасный пакет удавалось изолировать до использования в production-сборке, увеличилось на 38%. Такая динамика показывает не только рост активности злоумышленников, но и более зрелое отношение бизнеса к open source-рискам. npm остается одной из самых удобных для атакующих экосистем из-за большого числа транзитивных зависимостей, автоматического выполнения lifecycle-скриптов и высокой скорости распространения новых версий. Команда разработки может не устанавливать вредоносный пакет напрямую: он попадает в проект через служебную библиотеку, клиент API, компонент сборки или optional-зависимость. Внешне процесс выглядит штатно, поэтому классические проверки на уровне периметра часто не дают нужного контекста. Защита начинает работать эффективнее там, где контроль зависимостей встроен в пайплайн, а не проводится вручную уже после инцидента. В 2026 году атаки на npm ...
читать далее.
