Напоминание о безопасности: Еще одна известная разработчик и аккаунт-аккаунт NPM был взломан и введен в кошелек, чтобы украсть вредоносное ПО

Согласно Blockbeats, 9 сентября, согласно мониторингу сокетов, продолжающиеся атаки цепочки поставок NPM распространились от известного разработчика QIX до другого очень известного сопровождающего. Аккаунт NPM DuckDB_ADMIN, который отвечает за пакеты, связанные с DuckDB, была взломана, и было выпущено несколько вредоносных версий. Инъекционный код такой же, как у кошелька, используемого вредоносным ПО, используемого при повреждении учетной записи QIX, что убедительно предполагает, что оба являются частью одной и той же атаки. Ранее, команда Ledger заявил, что крупномасштабная атака цепочки поставок может столкнуться с рисками во всей экосистеме JavaScript. Но злоумышленники NPM потерпели неудачу, и жертвы было мало.