Npm под атакой

На npm произошёл масштабный угон популярных JavaScript-библиотек. 18 пакетов с ~2 миллиардами скачиваний в неделю обзавелись кодом под стягивание крипты из браузера. И всё это одним фишинговым письмом по одному же мейнтейнеру.

Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разраб подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши.

Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал.

Позже по npm также ударила гораздо более серьёзная атака с червем-инфостилером.