npm объявил о крупных изменениях в системе безопасности, которые напрямую затронут токены доступа, CI/CD пайплайны и автоматизацию. Это первая фаза масштабного обновления, направленного на защиту экосистемы npm от атак на цепочку поставок. Что изменится уже сейчас С 13 октября: - Вводятся новые “granular tokens” — токены с ограниченным временем жизни до 90 дней (по умолчанию 7 дней). - Создание новых TOTP 2FA-конфигураций будет отключено (уже существующие — продолжат работать). В начале ноября: - Все классические токены (classic tokens) будут навсегда отозваны...

Кажется, всё было так спокойно. Обычный будний день разработчика JavaScript: кофе на столе, код в редакторе, пакеты с npm скачиваются привычными движениями. Но вдруг оказалось, что в этой привычной простоте скрывается опасность — совсем недавно эксперты из ReversingLabs обнаружили крайне изощрённую атаку, реализованную через известный репозиторий пакетов npm. Вирусная кампания, названная исследователями «ethers-provider2», на первый взгляд была максимально простой и привычной. Два пакета — ethers-provider2...