Джаваскриптизёры, доброе утро: в npm всплыли вредоносные версии 18 популярных либ, включая chalk и debug Только за неделю у этих пакетов обычно бывает более 2 млрд скачиваний, и они ставятся транзитивно практически в каждом проекте. Вредонос умело подменяет адреса криптокошельков прямо в браузере, чтобы незаметно тянуть деньги через Web3-интерфейсы. Взлом начался с фишинга одного из мейнтейнеров. 5 сентября — его аккаунт увели и опубликовали заражённые релизы. Проверьте свои lock-файлы и срочно обновляйтесь. Это одна из самых масштабных JS-атак за последнее время! Версии зараженных пакетов оставил в комментах
Джаваскриптизёры, доброе утро: в npm всплыли вредоносные версии 18 популярных либ, включая chalk и debug
Только за неделю у этих пакетов обычно бывает более 2 млрд скачиваний, и они ставятся транзитивно практически в каждом проекте. Вредонос умело подменяет адреса криптокошельков прямо в браузере, чтобы незаметно тянуть деньги через Web3-интерфейсы.
Взлом начался с фишинга одного из мейнтейнеров. 5 сентября — его аккаунт увели и опубликовали заражённые релизы. Проверьте свои lock-файлы и срочно обновляйтесь. Это одна из самых масштабных JS-атак за последнее время!
Версии зараженных пакетов оставил в комментах
