Фишингом угнали npm-аккаунт мейнтейнера qix и пушнули апдейты в 18 ключевых пакетов (chalk, debug, strip-ansi, color-convert и др.) — суммарно это ~2,6 млрд загрузок в неделю.
В обновления вставили браузерный крипто-«клиппер»: на сайтах/в приложениях с уязвимыми версиями он перехватывает трафик и подменяет адреса кошельков.
Скомпрометированные версии — удалить немедленно из всех сред (локальные машины разработчиков, CI/CD, прод):
ansi-styles@6.2.2
debug@4.4.2
chalk@5.6.1
supports-color@10.2.1
strip-ansi@7.1.1
ansi-regex@6.2.1
wrap-ansi@9.0.1
color-convert@3.1.1
color-name@2.0.1
is-arrayish@0.3.3
slice-ansi@7.1.1
color@5.0.1
color-string@2.1.1
simple-swizzle@0.2.3
supports-hyperlinks@4.1.1
has-ansi@6.0.1
chalk-template@1.1.1
backslash@0.2.1
error-ex@1.3.3
▪Удалить уязвимые версии из дерева зависимостей, пересобрать и задеплоить исправления.
▪Проверить lock-файлы (package-lock.json, yarn.lock, pnpm-lock.yaml) и node_modules на присутствие перечисленных версий.
▪ Очистить кэш менеджера пакетов: npm cache clean --force, yarn cache clean, pnpm store prune.
▪ Переустановить зависимости с нуля (удалив node_modules и lock-файлы) и заново зафиксировать версии.
▪ Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши, перезапустить рантаймы.
▪ Проверить логи на внешние запросы из бандла, провести аудит внесённых PR/коммитов.
▪ Ротировать ключи/токены, если могли утечь, и ужесточить 2FA/доступ к npm.
📌 Разбор атаки
#security #npm #javascript #supplychain #infosec #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4👍4😱2