JAVASCRIPTV Telegram 1973
tgoop.com » United States » Javascript » Telegram web » Post 1973
Javascript
🔥 Самая масштабная атака на экосистему JavaScript

Фишингом угнали npm-аккаунт мейнтейнера qix и пушнули апдейты в 18 ключевых пакетов (chalk, debug, strip-ansi, color-convert и др.) — суммарно это ~2,6 млрд загрузок в неделю.
В обновления вставили браузерный крипто-«клиппер»: на сайтах/в приложениях с уязвимыми версиями он перехватывает трафик и подменяет адреса кошельков.

Скомпрометированные версии — удалить немедленно из всех сред (локальные машины разработчиков, CI/CD, прод):

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]



⚡️ Что стоит сделать:
Удалить уязвимые версии из дерева зависимостей, пересобрать и задеплоить исправления.
Проверить lock-файлы (package-lock.json, yarn.lock, pnpm-lock.yaml) и node_modules на присутствие перечисленных версий.
Очистить кэш менеджера пакетов: npm cache clean --force, yarn cache clean, pnpm store prune.
Переустановить зависимости с нуля (удалив node_modules и lock-файлы) и заново зафиксировать версии.
Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши, перезапустить рантаймы.
Проверить логи на внешние запросы из бандла, провести аудит внесённых PR/коммитов.
Ротировать ключи/токены, если могли утечь, и ужесточить 2FA/доступ к npm.

📌 Разбор атаки

#security #npm #javascript #supplychain #infosec #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥87👍4😱2
www.tgoop.com/javascriptv/1972
4.73K views



tgoop.com/javascriptv/1973
Create:
Last Update:

🔥 Самая масштабная атака на экосистему JavaScript

Фишингом угнали npm-аккаунт мейнтейнера qix и пушнули апдейты в 18 ключевых пакетов (chalk, debug, strip-ansi, color-convert и др.) — суммарно это ~2,6 млрд загрузок в неделю.
В обновления вставили браузерный крипто-«клиппер»: на сайтах/в приложениях с уязвимыми версиями он перехватывает трафик и подменяет адреса кошельков.

Скомпрометированные версии — удалить немедленно из всех сред (локальные машины разработчиков, CI/CD, прод):

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]



⚡️ Что стоит сделать:
Удалить уязвимые версии из дерева зависимостей, пересобрать и задеплоить исправления.
Проверить lock-файлы (package-lock.json, yarn.lock, pnpm-lock.yaml) и node_modules на присутствие перечисленных версий.
Очистить кэш менеджера пакетов: npm cache clean --force, yarn cache clean, pnpm store prune.
Переустановить зависимости с нуля (удалив node_modules и lock-файлы) и заново зафиксировать версии.
Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши, перезапустить рантаймы.
Проверить логи на внешние запросы из бандла, провести аудит внесённых PR/коммитов.
Ротировать ключи/токены, если могли утечь, и ужесточить 2FA/доступ к npm.

📌 Разбор атаки

#security #npm #javascript #supplychain #infosec #malware

BY Javascript






Share with your friend now:
tgoop.com/javascriptv/1973

View MORE
Open in Telegram


Telegram News

Date: |

On June 7, Perekopsky met with Brazilian President Jair Bolsonaro, an avid user of the platform. According to the firm's VP, the main subject of the meeting was "freedom of expression." The court said the defendant had also incited people to commit public nuisance, with messages calling on them to take part in rallies and demonstrations including at Hong Kong International Airport, to block roads and to paralyse the public transportation system. Various forms of protest promoted on the messaging platform included general strikes, lunchtime protests and silent sit-ins. Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link). While the character limit is 255, try to fit into 200 characters. This way, users will be able to take in your text fast and efficiently. Reveal the essence of your channel and provide contact information. For example, you can add a bot name, link to your pricing plans, etc. Telegram Android app: Open the chats list, click the menu icon and select “New Channel.”
from us


🔥 Самая масштабная атака на экосистему JavaScript

 Javascript TG
web: 1973
Javascript.Telegram web
Javascript Telegram TG Channel
Telegram Updated:
Telegram Javascript
FROM American