#news Про атаки на цепочку поставок слышали? Новый хит сезона! Мини Шаи-Хулуд в исполнении TeamPCP продолжает терроризировать npm и PyPi — червие уже в 400+ пакетов.
Среди затронутых TanStack, UiPath, Mistral AI, OpenSearch, и Guardrails AI. Отдельно можно выделить пакеты TanStack — больше 12 миллионов загрузок в неделю и широкий охват по всей экосистеме npm. Даром что сканер от Socket засёк компрометацию через 5 минут после публикации. Чтобы было не так скучно, подвезли сюжетный поворот: на иранских и израильских локалях в малвари прописан шанс 1 к 6 выполнить rm -rf /. Такая вот русская рулетка для девелоперов. В комментариях TanStack юзер и вовсе утверждает, что нагрузка слушает стянутый токен и пускает rm -rf /, если его отзовут. А вы думали, supply chain атаки только вам надоели? Вот и TeamPCP развлекается как может.
