#news На npm произошёл масштабный угон популярных JavaScript-библиотек. 18 пакетов с ~2 миллиардами скачиваний в неделю обзавелись кодом под стягивание крипты из браузера. И всё это одним фишинговым письмом по одному же мейнтейнеру.
Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разраб подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши. Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал. Но теперь благодаря пикрилейтеду мы все о нём слышали.
