#news Хроники цепочно-поставочных компрометаций на npm: на этот раз пострадала экосистема вокруг antv — инструментов для визуализации. Скомпрометирован в том числе echarts-for-react — 1,1 миллиона недельных загрузок.
Компрометацию заметили сегодня; всё это, как водится, мини Шаи-Хулуд. Но с таким охватом это уже целый Шаи-Хулудище: затронуты более 300 пакетов, и охват по установкам достаточный, чтобы внизу их успели словить сотни организаций, даже если мейнтейнер сразу же подорвался на стук по каналам связи вида “Дорогой, просыпайся, время устранять очередную атаку на цепочку поставок”. Тем временем слив червия в открытый доступ тоже даёт свои плоды — к веселью подключились все желающие. А в GitHub и Python Software Foundation задумчиво смотрят на это и решают, что делать с этими вашими репозиториями и CI/CD пайплайнами, чтобы остановить этот цирк. Хорошего не ждите.
