Microsoft destapa 45 paquetes npm que abusan dependency-confusion para perfilar entornos de dev
Microsoft Threat Intelligence reportó 45 paquetes maliciosos en 9 scopes (@payments-widget, @sber-ecom-core, @data-science, entre otros), publicados por tres cuentas entre el 28 y 29 de mayo. Usan dependency-confusion: nombres que imitan paquetes internos privados para que npm resuelva la versión pública. El payload corre en postinstall y, por ahora en modo recon-only, recolecta hostnames, env vars y credenciales, con C2 en oob.moika[.]tech y arquitectura lista para fases de explotación futuras. Mismo único operador detrás de las tres cuentas. Defender ya los detecta y pone en cuarentena.
OpenTelemetry lanza Blueprints: patrones prescriptivos para desplegar observabilidad sin reinventar la rueda
OpenTelemetry lanzó Blueprints: patrones de arquitectura prescriptivos e implementaciones de referencia para desplegar observabilidad en Kubernetes, infra y stacks cloud-native. La idea es separar la complejidad esencial (inherente al problema) de la accidental (la que surge de adoptar OTel sin coordinación), con patrones reales de Adobe y Skyscanner. Si cada equipo tuyo arma el Collector y la config de SDK a mano, esto es un golazo para estandarizar sin perder interoperabilidad.
Unit 42 actualiza su guía de cadena de suministro npm con un checklist de hardening concreto
Tras la ola Miasma (@redhat-cloud-services) y los ataques de dependency-confusion, Unit 42 refrescó su guía de threat-landscape de npm con un checklist accionable: bloqueá cualquier versión publicada en las últimas 24–72h vía proxy o registry privado, poné ignore-scripts=true en el .npmrc, usá npm ci + lockfiles en vez de npm install, verificá provenance con slsa-verifier y restringí el egress de red en CI/CD. Nada nuevo conceptualmente, pero si no lo tenés implementado, ponete las pilas: estos ataques ya son semanales.
Tendencias Destacadas
El core de Node.js está debatiendo las contribuciones generadas por IA tras la propuesta node:vfs de Matteo Collina (PR #61478, ~19k líneas hechas en gran parte con Claude Code): el TSC va a votar una política sobre código asistido por IA, y Vercel y LangChain ya extrajeron la misma API a userland.
Los ataques a la cadena de suministro npm ya son un evento semanal (Miasma en Red Hat, 45 paquetes de dependency-confusion de Microsoft, fugas en CI tipo CloudPirates): las políticas de version-delay, ignore-scripts y OIDC con publishing scopes acotados pasan de nice-to-have a baseline obligatorio.
Microsoft exposes 45 npm packages abusing dependency-confusion to profile developer environments
Microsoft Threat Intelligence reported 45 malicious packages across 9 scopes (@payments-widget, @sber-ecom-core, @data-science, among others), published by three accounts on May 28–29. They use dependency-confusion: names mimicking private internal packages so npm resolves the public version. The payload runs in postinstall and, currently in recon-only mode, harvests hostnames, env vars and credentials, with C2 at oob.moika[.]tech and an architecture primed for future exploitation phases. A single operator is behind all three accounts. Defender already detects and quarantines them.
OpenTelemetry launches Blueprints: prescriptive patterns to deploy observability without reinventing the wheel
The OpenTelemetry project launched Blueprints: prescriptive architecture patterns and reference implementations for deploying observability across Kubernetes, infra and cloud-native stacks. The goal is to separate essential complexity (inherent to observability) from accidental complexity (born from uncoordinated adoption), with real-world patterns from Adobe and Skyscanner. If every team hand-rolls Collector and SDK config, this is a clean way to standardize without losing interoperability.
Unit 42 refreshes its npm supply-chain guide with a concrete hardening checklist
After the Miasma (@redhat-cloud-services) wave and the dependency-confusion campaigns, Unit 42 refreshed its npm threat-landscape guide with an actionable checklist: block any package version published in the last 24–72h via a proxy or private registry, set ignore-scripts=true in .npmrc, use npm ci + lockfiles instead of npm install, verify provenance with slsa-verifier, and restrict CI/CD network egress. Nothing conceptually new, but if it's not in place yet, prioritize it — these attacks are now a weekly event.
Notable Trends
Node.js core is debating AI-generated contributions after Matteo Collina's node:vfs proposal (PR #61478, ~19k lines built largely with Claude Code): the TSC is set to vote on a policy for AI-assisted code, while Vercel and LangChain have already extracted the same API into userland.
npm supply-chain attacks are now a weekly event (Miasma on Red Hat, Microsoft's 45 dependency-confusion packages, CloudPirates-style CI leaks): version-delay policies, ignore-scripts and OIDC with scoped publishing are moving from nice-to-have to mandatory baseline.
Microsoft révèle 45 paquets npm abusant du dependency-confusion pour profiler les environnements de dev
Microsoft Threat Intelligence a signalé 45 paquets malveillants dans 9 scopes (@payments-widget, @sber-ecom-core, @data-science, entre autres), publiés par trois comptes les 28–29 mai. Ils utilisent le dependency-confusion : des noms imitant des paquets internes privés pour que npm résolve la version publique. Le payload s'exécute en postinstall et, pour l'instant en mode recon-only, collecte hostnames, env vars et identifiants, avec C2 sur oob.moika[.]tech.
OpenTelemetry lance Blueprints : des patterns prescriptifs pour déployer l'observabilité sans réinventer la roue
Le projet OpenTelemetry a lancé Blueprints : des patterns d'architecture prescriptifs et des implémentations de référence pour déployer l'observabilité sur Kubernetes, l'infra et les stacks cloud-native. L'objectif est de distinguer la complexité essentielle de l'accidentelle (née d'une adoption non coordonnée), avec des patterns réels d'Adobe et Skyscanner.
Unit 42 met à jour son guide de chaîne d'approvisionnement npm avec une checklist de durcissement concrète
Après la vague Miasma (@redhat-cloud-services) et les campagnes de dependency-confusion, Unit 42 a actualisé son guide avec une checklist : bloquez toute version publiée dans les dernières 24–72h via un proxy ou registry privé, mettez ignore-scripts=true dans .npmrc, utilisez npm ci + lockfiles, vérifiez la provenance avec slsa-verifier et restreignez l'egress réseau en CI/CD.
Tendances Notables
Le core de Node.js débat des contributions générées par IA après la proposition node:vfs de Matteo Collina (PR #61478, ~19k lignes en grande partie via Claude Code) : le TSC doit voter une politique sur le code assisté par IA, et Vercel et LangChain ont déjà extrait la même API en userland.
Les attaques de chaîne d'approvisionnement npm sont désormais hebdomadaires (Miasma chez Red Hat, 45 paquets de dependency-confusion chez Microsoft, fuites CI type CloudPirates) : les politiques de version-delay, ignore-scripts et OIDC à scopes restreints passent de confort à socle obligatoire.