npm

Czasem całą przewagę technologiczną potrafi rozbroić drobiazg, którego nikt nie zauważył przed publikacją. Właśnie tak wygląda sprawa Claude Code, gdzie rutynowa aktualizacja zamieniła się w publiczny wgląd pod maskę jednego z najgłośniejszych narzędzi AI przeznaczonego dla programistów. I choć Anthropic mówi o błędzie pakietowania, skutki tej pomyłki wykraczają daleko poza zwykłe potknięcie w pipeline.

Deweloper patrzy na kod i widzi pustą linię. Narzędzie do statycznej analizy potwierdza, że jest czysto. Tymczasem w tej pozornej pustce siedzi kompletny złośliwy ładunek, niewidoczny dla ludzkich oczu, w pełni czytelny dla interpretera JavaScript. Kampania GlassWorm uderzyła w open source z ogromnym rozmachem, i po raz kolejny pokazała, że tradycyjny przegląd kodu ma ślepą plamkę, którą atakujący potrafią eksploatować na przemysłową skalę.

Pod koniec stycznia 2026 roku firma Socket odkryła poważny incydent bezpieczeństwa dotyczący oficjalnych pakietów giełdy kryptowalut dYdX. Kilka wersji bibliotek dostępnych w repozytoriach npm i PyPI zawierało złośliwy kod, który przechwytywał dane dostępowe do portfeli użytkowników. Choć zainfekowane wersje zostały szybko usunięte, każdy deweloper, który zintegrował je ze swoją aplikacją, mógł nieświadomie narazić środki swoje i swoich klientów na kradzież.

Liczba cyberataków na projekty open source i narzędzia programistyczne stale rośnie. Coraz częściej celem są także renomowane firmy, a skutki takich incydentów mogą być poważne. Jedno z ostatnich wydarzeń pokazuje, że nawet dobrze znane organizacje muszą szczególnie dbać o zabezpieczenia swoich repozytoriów i kont. W newsie omawiamy przypadek, który jest ostrzeżeniem dla całej branży tworzenia oprogramowania.