Уязвимость проявляется через зависимости: в одном из кейсов пакет подтянулся через googleworkspace/cli, использовавшийся для работы с Gmail и Google Calendar. При этом установленная версия оказалась безопасной — 1.13.5. Однако зависимость не была зафиксирована (unpinned), и при установке в другое время могла подтянуться уже заражённая версия. Это ключевая проблема всей экосистемы: если версии не закреплены, сборка может в любой момент «подхватить» компрометированный релиз. Частично защититься...

Согласно сообщениям, злоумышленникам удалось получить доступ к аккаунту мейнтейнера и опубликовать заражённые версии библиотеки. В течение нескольких часов эти версии могли быть установлены в тысячи проектов по всему миру. Для российских компаний, работающих с open-source компонентами, этот случай — ещё один сигнал о необходимости пересмотреть подходы к управлению зависимостями и защите окружения разработки. По данным, опубликованным в технических сообществах и репозиториях, атака строилась не на взломе инфраструктуры npm, а на манипуляции разработчиком...

Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает. Читать далее 🔗 Читать полностью