За пару часов скомпрометировали 57 пакетов и выпустили 286+ вредоносных версий. Это новая версия червя Miasma: он сам расползается по зависимостям, без ручного участия атакующего, и использует техники уклонения, чтобы дольше не светиться. Цель - не обычные пользователи, а пайплайны и секреты разработчиков. Payload вытаскивает токены GitHub Actions, облачные ключи, Vault, SSH, npm, GitHub и даже хранилища менеджеров паролей. Один заражённый npm install в CI может отдать доступ к инфраструктуре. Отдельно неприятная часть - атака трогает конфиги ИИ-инструментов: ...

Когда говорят «hardware wallet безопаснее софтового», подразумевают защиту от удалённых атак — вирусов, фишинговых сайтов, скомпрометированных RPC. Это правда. Но между фабрикой и твоим столом устройство проходит десятки рук, и каждая точка контакта — потенциальный вектор атаки. Это и есть supply-chain риск, и для TON-пользователя в 2026 году он не теоретический. В типичном threat model пользователь мысленно защищается от трёх вещей: вирусы на компе, фишинговые сайты, скам-токены. Hardware wallet...