Главный мотив сегодняшних новостей по безопасности разработки прост: атакующие всё активнее заходят через инструменты, которым инженеры уже доверяют. В центре — npm-пакеты, плагины IDE, контентные площадки и секреты на рабочих машинах.

Иллюстрация о кибербезопасности open source и рабочих станций разработчиков

Инцидент с Mastra показывает, как быстро namespace становится опасным

Endor Labs, JFrog, Socket, StepSecurity и The Hacker News сообщили об атаке на цепочку поставки, затронувшей до 144 пакетов в npm-namespace @mastra. Кампания easy-day-js включала вредоносные версии зависимостей и массовую публикацию после компрометации аккаунта участника. По данным Orca Security, один только @mastra/core имел около 918 тысяч загрузок в неделю. Командам, устанавливавшим @mastra/* после 16 июня, стоит проверить lockfile, CI, рабочие станции и токены.

Вредоносные плагины IDE охотятся за AI API-ключами

JetBrains сообщил об удалении 15 сторонних плагинов Marketplace, созданных для кражи ключей AI-провайдеров, и об отключении установленных копий через backend-механизмы. Эта категория атак стала особенно ценной: AI coding tools живут прямо в IDE, рядом с кодом, промптами и платными credential’ами. Проверка плагинов теперь должна быть частью управления секретами.

Wallpaper Engine напоминает: исполняемый контент распространяется через сообщества

Kaspersky и BleepingComputer описали распространение malware через Steam Workshop и Wallpaper Engine, включая пакеты обоев с исполняемыми файлами или защищёнными архивами. Урок шире игровой темы: любая площадка для активного пользовательского контента может стать каналом доставки. Домашний ПК разработчика тоже нуждается в endpoint-гигиене.

Видимость секретов смещается на машины разработчиков

Help Net Security писал о GitGuardian Developer Endpoint Protection. Это продуктовый анонс, но он отражает важный тренд: секреты ищут уже не только в Git, а на рабочих машинах, где появляются временные скрипты, notebooks, copied tokens и AI-assisted workflows. Контроль звучит просто: знать, где лежат секреты, раньше атакующего.

Что сделать сразу

Проверить npm lockfile и CI-установки, ротировать подозрительные токены, пересмотреть IDE- и browser-extensions, отключить лишние permissions и включить сканирование секретов на developer endpoints. Источники: Endor Labs, JFrog Security Research, Socket, StepSecurity, The Hacker News, Orca Security, JetBrains, Kaspersky, BleepingComputer и Help Net Security.