🚨 КРИЗИЧЕСКАЯ Атака в цепочке поставок прямо сейчас

@feross только что сообщил: axios (более 100 млн. загрузок в неделю) последние версии 1.14.1 и 0.30.4 были скомпрометированы.
Злоумышленник взял под контроль аккаунт npm мейнтейнера и вставил plain-crypto-js@4.2.1, полноценный RAT-эксплойт, который:
• Работает после установки (без необходимости импорта)
• Деобфусцирует и выполняет shell-команды
• Распространяет платформо-специфическое вредоносное ПО (macOS, Windows, Linux)
• Самоуничтожается, чтобы скрыть следы
Популярные крипто-платформы и кошельки, которые используют axios (непосредственно или косвенно), включают:
• MetaMask
• Trust Wallet
• Coinbase Wallet
• Uniswap
• OpenSea
• Phantom
Крипто-терминология альфа:
Если вы используете ЛЮБОЕ Node.js криптоинструментальное ПО (боты MEV, торговые скрипты, индексаторы в блокчейне, соединители кошельков и т. д.), вы сейчас под угрозой.
Немедленно зафиксируйте axios на версию 1.14.0 или 0.30.3. Проверьте ваши lock-файлы. Предположите компрометацию, если вы устанавливали за последние 12 часов.
Ирония в том, что название пакета “plain-crypto-js” пишет вредоносное ПО… шефский поцелуй 😭
У вас уже запущена Socket Security или зафиксированы зависимости? Или все еще команда “npm install latest”?