Фишингом угнали npm-аккаунт мейнтейнера qix и пушнули апдейты в 18 ключевых пакетов (chalk, debug, strip-ansi, color-convert и др.) — суммарно это ~2,6 млрд загрузок в неделю.
В обновления вставили браузерный крипто-«клиппер»: на сайтах/в приложениях с уязвимыми версиями он перехватывает трафик и подменяет адреса кошельков.
Скомпрометированные версии — удалить немедленно из всех сред (локальные машины разработчиков, CI/CD, прод):
ansi-styles@6.2.2
debug@4.4.2
chalk@5.6.1
supports-color@10.2.1
strip-ansi@7.1.1
ansi-regex@6.2.1
wrap-ansi@9.0.1
color-convert@3.1.1
color-name@2.0.1
is-arrayish@0.3.3
slice-ansi@7.1.1
color@5.0.1
color-string@2.1.1
simple-swizzle@0.2.3
supports-hyperlinks@4.1.1
has-ansi@6.0.1
chalk-template@1.1.1
backslash@0.2.1
error-ex@1.3.3
▪Удалить уязвимые версии из дерева зависимостей, пересобрать и задеплоить исправления.
▪Проверить lock-файлы (package-lock.json, yarn.lock, pnpm-lock.yaml) и node_modules на присутствие перечисленных версий.
▪ Очистить кэш менеджера пакетов: npm cache clean --force, yarn cache clean, pnpm store prune.
▪ Переустановить зависимости с нуля (удалив node_modules и lock-файлы) и заново зафиксировать версии.
▪ Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши, перезапустить рантаймы.
▪ Проверить логи на внешние запросы из бандла, провести аудит внесённых PR/коммитов.
▪ Ротировать ключи/токены, если могли утечь, и ужесточить 2FA/доступ к npm.
📌 Разбор атаки
#security #npm #javascript #supplychain #infosec #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5👍4😱2
This media is not supported in your browser
VIEW IN TELEGRAM
В ней собрано больше 100 готовых анимированных компонентов: кнопки, карточки, меню, модалки, курсоры и даже списки с плавными эффектами. Всё выглядит стильно, легко настраивается через пропсы, а примеры можно сразу протестировать в браузере.
Коллекция постоянно пополняется новыми элементами, а самое приятное — всё это распространяется бесплатно.
Отличный инструмент для тех, кто делает интерфейсы на React.
https://github.com/DavidHDev/react-bits
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤7👍2👎1
🗓 18 сентября, 19:00–22:00, четверг
Backend meetup от OneTwoTrip
Регистрируйтесь на митап и зовите коллег
Мы с вами рассмотрим самые актуальные темы из мира бэкенда. Вы узнаете, как поддерживать проекты-долгожители, не ломая функционал, а также научитесь справляться с высокими нагрузками, самостоятельно создавая надёжные и быстрые сервисы и развивая фичи. Эксперты поделятся своим опытом в разработке, мониторинге и оптимизации.
Спикеры и доклады 🎤
Спикер: Кирилл Красавин, teamlead в команде «Платформа» в OneTwoTrip
Спикер: Дмитрий Камынин, backend-разработчик в команде «Отели» в OneTwoTrip
Спикер: Артем Кущ, GO-разработчик в команде «ВК Видео»
Спикер: Никита Тимофеев, teamlead команд «Ж/д», «Аренда авто» и партнёрского API в OneTwoTrip
Завершим вечер на крутой ноте! Вас ждет нетворкинг, живое общение с нашими спикерами и афтепати с пиццей.
Все детали по ссылке тут — тык-тык
Реклама. ООО «ОТТ Девелопмент», ИНН 7702849158,
erid: 2Vtzqud6t5y
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👎2🔥1
Vercel, создатели Next.js, выложили большую коллекцию примеров и шаблонов для приложений.
Внутри куча полезного:
- простые стартеры, чтобы быстро запустить проект
- готовые архитектуры «как в проде»
- демки с лучшими практиками
Полезно и для быстрых экспериментов, и чтобы подсмотреть правильные решения.
Репозиторий постоянно пополняется, а лучшие наработки попадают в Vercel Templates с удобным поиском и фильтрацией.
👉 Отличный источник, чтобы копировать и развивиать проверенные идеи. 🚀
@javascriptv
Внутри куча полезного:
- простые стартеры, чтобы быстро запустить проект
- готовые архитектуры «как в проде»
- демки с лучшими практиками
Полезно и для быстрых экспериментов, и чтобы подсмотреть правильные решения.
Репозиторий постоянно пополняется, а лучшие наработки попадают в Vercel Templates с удобным поиском и фильтрацией.
👉 Отличный источник, чтобы копировать и развивиать проверенные идеи. 🚀
@javascriptv
❤15👍5🥰3👎1
🎉 Открытая платформа для AI-чатов
Open-Fiesta — это многофункциональная среда для общения с ИИ, построенная на Next.js. Пользователи могут переключаться между различными провайдерами и моделями, сравнивать результаты и использовать веб-поиск и вложения изображений.
🚀 Основные моменты:
- Поддержка нескольких провайдеров (Gemini, OpenRouter и др.)
- Выбор до 5 моделей для работы
- Веб-поиск и вложения изображений
- Чистый интерфейс и удобное управление
📌 GitHub: https://github.com/NiladriHazra/Open-Fiesta
Open-Fiesta — это многофункциональная среда для общения с ИИ, построенная на Next.js. Пользователи могут переключаться между различными провайдерами и моделями, сравнивать результаты и использовать веб-поиск и вложения изображений.
🚀 Основные моменты:
- Поддержка нескольких провайдеров (Gemini, OpenRouter и др.)
- Выбор до 5 моделей для работы
- Веб-поиск и вложения изображений
- Чистый интерфейс и удобное управление
📌 GitHub: https://github.com/NiladriHazra/Open-Fiesta
❤3👍1🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
Верстаешь?
Оцени 7 причин пройти наш бесплатный интенсив по Frontend-разработке:
1. Ты сверстаешь веб-сайт на HTML + CSS;
2. Оживишь страницу с помощью JavaScript;
3. Используешь фронтенд-фреймворк Angular;
4. Подключишь Backend и загрузишь сайт на хостинг;
5. Получишь советы по доработке от эксперта;
6. Научишься использовать ChatGPT и Giga во Frontend-разработке;
7. Узнаешь 9 способов найти первый заказ даже без опыта.
А главное, ты проведёшь 7 дней в приятной компании Fullstack-разработчика с 12-летним стажем – Романа Чернова.
👉 Проскочить на интенсив бесплатно
Начинаем уже завтра.
🔥 С нас обучение, практика и помощь с выходом на фриланс или собеседованием.
Оцени 7 причин пройти наш бесплатный интенсив по Frontend-разработке:
1. Ты сверстаешь веб-сайт на HTML + CSS;
2. Оживишь страницу с помощью JavaScript;
3. Используешь фронтенд-фреймворк Angular;
4. Подключишь Backend и загрузишь сайт на хостинг;
5. Получишь советы по доработке от эксперта;
6. Научишься использовать ChatGPT и Giga во Frontend-разработке;
7. Узнаешь 9 способов найти первый заказ даже без опыта.
А главное, ты проведёшь 7 дней в приятной компании Fullstack-разработчика с 12-летним стажем – Романа Чернова.
👉 Проскочить на интенсив бесплатно
Начинаем уже завтра.
🔥 С нас обучение, практика и помощь с выходом на фриланс или собеседованием.
👎3👍1
@javascriptv
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥2❤1
Практичный JavaScript — от профи для профи
Участвуй в конференции HolyJS, если ты опытный разработчик и используешь JavaScript-технологии для фронтенда и бэкенда.
📍 20–21 ноября, Санкт-Петербург с онлайн-трансляцией.
Тебя ждут хардкорные доклады о том, как превратить ИИ в полноценного тиммейта, использовать TypeScript в нестандартных сценариях и работать с графикой и 3D-анимациями на JS.
Акцент в программе — на практических форматах: будет воркшоп по unit-тестам и разбор реальных кейсов с PWA и state-менеджментом. Будут и доклады о карьерных стратегиях. Для расширения кругозора — академический доклад с философским и историческим взглядом на JavaScript, который заставит иначе посмотреть на привычные технологии.
Хочешь поучаствовать за счет компании? Покажи руководителю нашу статью на Хабре «5 причин отправить сотрудника на IT-конференцию».
Пойдешь за свой счет ? Бери билет сейчас, пока цена не выросла — и не забудь промокод: JAVASCRIPT10
Реклама. ООО "ДЖУГ РУ ГРУП". ИНН 7801341446.
Участвуй в конференции HolyJS, если ты опытный разработчик и используешь JavaScript-технологии для фронтенда и бэкенда.
📍 20–21 ноября, Санкт-Петербург с онлайн-трансляцией.
Тебя ждут хардкорные доклады о том, как превратить ИИ в полноценного тиммейта, использовать TypeScript в нестандартных сценариях и работать с графикой и 3D-анимациями на JS.
Акцент в программе — на практических форматах: будет воркшоп по unit-тестам и разбор реальных кейсов с PWA и state-менеджментом. Будут и доклады о карьерных стратегиях. Для расширения кругозора — академический доклад с философским и историческим взглядом на JavaScript, который заставит иначе посмотреть на привычные технологии.
Хочешь поучаствовать за счет компании? Покажи руководителю нашу статью на Хабре «5 причин отправить сотрудника на IT-конференцию».
Пойдешь за свой счет ? Бери билет сейчас, пока цена не выросла — и не забудь промокод: JAVASCRIPT10
Реклама. ООО "ДЖУГ РУ ГРУП". ИНН 7801341446.
👎3🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
Совет по CSS 💡
Иногда фавикон отлично смотрится в светлой теме, но выглядит плохо (или вовсе исчезает) в тёмной, и наоборот.
Такие мелкие детали могут портить общее впечатление от сайта.
Вот как это исправить 👆
Иногда фавикон отлично смотрится в светлой теме, но выглядит плохо (или вовсе исчезает) в тёмной, и наоборот.
Такие мелкие детали могут портить общее впечатление от сайта.
Вот как это исправить 👆
👍14🔥2❤1