#news Если Shai-Hulud на npm был настолько хорош, то где Shai-Hulud 2? Так на npm. Снова. И в этот раз с продвинутыми масштабами, функциональностью и возможными последствиями для экосистемы. Отчёты о новой кампании пошли вчера, сегодня всё стоит на ушах.
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
