Recordatorio de seguridad: otra cuenta de desarrollador y mantenedor conocido NPM fue pirateada e inyectada en la billetera para robar malware

Según Blockbeats, el 9 de septiembre, según Socket Monitoring, los ataques de la cadena de suministro de NPM en curso se han extendido del conocido desarrollador Qix a otro mantenedor muy conocido. La cuenta de NPM DuckDB_Admin, que es responsable de los paquetes relacionados con DuckDB, fue pirateado y se han lanzado múltiples versiones maliciosas. El código inyectado es el mismo que el malware de robo de la billetera utilizado cuando una cuenta QIX está dañada, lo que sugiere fuertemente que ambos son parte del mismo ataque. Anteriormente, Ledger CTO dijo que un ataque de la cadena de suministro a gran escala podría enfrentar riesgos en todo el ecosistema de JavaScript. Pero los atacantes de la NPM fallaron y hubo pocas víctimas.