🚨 КРИТИЧНА Атака на ланцюг постачання прямо зараз

@feross щойно опублікував це: axios (100М+ щотижневих завантажень) останні версії 1.14.1 та 0.30.4 були скомпрометовані.
Зловмисник захопив обліковий запис npm підтримувача і вставив plain-crypto-js@4.2.1, повний RAT-експлойтер, який:
• Запускається після встановлення (не потрібен імпорт)
• Деобфускує та виконує командний рядок
• Випускає платформозалежне шкідливе програмне забезпечення (macOS, Windows, Linux)
• Самознищується, щоб приховати сліди
Популярні крипто-платформи та гаманці, що залежать від axios (безпосередньо або опосередковано), включають:
• MetaMask
• Trust Wallet
• Coinbase Wallet
• Uniswap
• OpenSea
• Phantom
Крипто-термінологія альфа:
Якщо ви використовуєте будь-які інструменти Node.js для крипто-операцій (MEV-боти, торгові скрипти, індекси на блокчейні, підключення гаманців тощо), ви зараз під ризиком.
Негайно зафіксуйте axios на версії 1.14.0 або 0.30.3. Перевірте свої файли блокування. Вважайте, що вас скомпрометували, якщо ви встановлювали протягом останніх 12 годин.
Іронія назви пакету “plain-crypto-js” — написання шкідливого ПЗ… шеф-кіс 😭
Ви вже використовуєте Socket Security або зафіксували свої залежності? Або все ще команда “npm install latest”?