Rappel de sécurité: Un autre compte de développeur et responsable bien connu du NPM a été piraté et injecté dans le portefeuille pour voler des logiciels malveillants

Selon Blockbeats, le 9 septembre, selon la surveillance de Socket, les attaques en cours de chaîne d'approvisionnement du NPM se sont propagées du développeur bien connu Qix à un autre mainteneur très connu. Le compte NPM DuckDB_ADMIN, qui est responsable des packages liés à DuckDB, a été piraté et plusieurs versions malveillantes ont été publiées. Le code injecté est le même que le portefeuille du portefeuille utilisé lorsqu'un compte QIX est endommagé, ce qui suggère fortement que les deux font partie de la même attaque. Auparavant, le CTO Ledger a déclaré qu'une attaque à grande échelle de la chaîne d'approvisionnement pourrait faire face à des risques dans tout l'écosystème JavaScript. Mais les attaquants du NPM ont échoué et il y a eu peu de victimes.