Недавняя кампания, связанная с npm-пакетом node-ipc, привлекла внимание специалистов по кибербезопасности из-за внедрения зашифрованного malicious code, нацеленного на кражу учетных данных и создание backdoor-доступа. Речь идет о компрометации нескольких версий популярного компонента для межпроцессного взаимодействия в Node.js, который злоумышленники использовали как вектор атаки на supply chain. По данным отчета, вредоносные версии node-ipc@9.1.6, node-ipc@9.2.3 и node-ipc@12.0.1 содержат зашифрованную нагрузку, встроенную в виде немедленно вызываемого функционального выражения IIFE в CommonJS-варианте пакета...