JAVASCRIPTV Telegram 1974
tgoop.com » United States » Javascript » Telegram web » Post 1974
Javascript
🔥 Самая масштабная атака на экосистему JavaScript

Фишингом угнали npm-аккаунт мейнтейнера qix и пушнули апдейты в 18 ключевых пакетов (chalk, debug, strip-ansi, color-convert и др.) — суммарно это ~2,6 млрд загрузок в неделю.
В обновления вставили браузерный крипто-«клиппер»: на сайтах/в приложениях с уязвимыми версиями он перехватывает трафик и подменяет адреса кошельков.

Скомпрометированные версии — удалить немедленно из всех сред (локальные машины разработчиков, CI/CD, прод):

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]



⚡️ Что стоит сделать:
Удалить уязвимые версии из дерева зависимостей, пересобрать и задеплоить исправления.
Проверить lock-файлы (package-lock.json, yarn.lock, pnpm-lock.yaml) и node_modules на присутствие перечисленных версий.
Очистить кэш менеджера пакетов: npm cache clean --force, yarn cache clean, pnpm store prune.
Переустановить зависимости с нуля (удалив node_modules и lock-файлы) и заново зафиксировать версии.
Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши, перезапустить рантаймы.
Проверить логи на внешние запросы из бандла, провести аудит внесённых PR/коммитов.
Ротировать ключи/токены, если могли утечь, и ужесточить 2FA/доступ к npm.

📌 Разбор атаки

#security #npm #javascript #supplychain #infosec #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥87👍4😱2
www.tgoop.com/javascriptv/1972
4.73K views



tgoop.com/javascriptv/1974
Create:
Last Update:

🔥 Самая масштабная атака на экосистему JavaScript

Фишингом угнали npm-аккаунт мейнтейнера qix и пушнули апдейты в 18 ключевых пакетов (chalk, debug, strip-ansi, color-convert и др.) — суммарно это ~2,6 млрд загрузок в неделю.
В обновления вставили браузерный крипто-«клиппер»: на сайтах/в приложениях с уязвимыми версиями он перехватывает трафик и подменяет адреса кошельков.

Скомпрометированные версии — удалить немедленно из всех сред (локальные машины разработчиков, CI/CD, прод):

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]



⚡️ Что стоит сделать:
Удалить уязвимые версии из дерева зависимостей, пересобрать и задеплоить исправления.
Проверить lock-файлы (package-lock.json, yarn.lock, pnpm-lock.yaml) и node_modules на присутствие перечисленных версий.
Очистить кэш менеджера пакетов: npm cache clean --force, yarn cache clean, pnpm store prune.
Переустановить зависимости с нуля (удалив node_modules и lock-файлы) и заново зафиксировать версии.
Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши, перезапустить рантаймы.
Проверить логи на внешние запросы из бандла, провести аудит внесённых PR/коммитов.
Ротировать ключи/токены, если могли утечь, и ужесточить 2FA/доступ к npm.

📌 Разбор атаки

#security #npm #javascript #supplychain #infosec #malware

BY Javascript






Share with your friend now:
tgoop.com/javascriptv/1974

View MORE
Open in Telegram


Telegram News

Date: |

Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link). On June 7, Perekopsky met with Brazilian President Jair Bolsonaro, an avid user of the platform. According to the firm's VP, the main subject of the meeting was "freedom of expression." Telegram iOS app: In the “Chats” tab, click the new message icon in the right upper corner. Select “New Channel.” During a meeting with the president of the Supreme Electoral Court (TSE) on June 6, Telegram's Vice President Ilya Perekopsky announced the initiatives. According to the executive, Brazil is the first country in the world where Telegram is introducing the features, which could be expanded to other countries facing threats to democracy through the dissemination of false content. Telegram message that reads: "Bear Market Screaming Therapy Group. You are only allowed to send screaming voice notes. Everything else = BAN. Text pics, videos, stickers, gif = BAN. Anything other than screaming = BAN. You think you are smart = BAN.
from us


🔥 Самая масштабная атака на экосистему JavaScript

 Javascript TG
web: 1974
Javascript.Telegram web
Javascript Telegram TG Channel
Telegram Updated:
Telegram Javascript
FROM American