Представляешь,

IT и технологии · 19 мая 2026 г.

Открыть канал в MAX

За 22 минуты один аккаунт переписал 317 пакетов

За 22 минуты один аккаунт переписал 317 пакетов Есть такая уязвимость в npm: если атакующий публикует версию 3.2.7, а у вас стоит ^3.0.6, пакет-менеджер молча подтянет вредоносную версию при следующей чистой установке. Тег latest при этом можно вообще не трогать. Именно это произошло 19 мая с аккаунтом atool. 637 вредоносных версий, 317 пакетов, десятки миллионов загрузок в месяц — всё за 22 минуты. В списке echarts-for-react, size-sensor, пакеты @antv. Payload крадёт AWS-ключи, GitHub PAT, SSH-ключи, данные из 1Password и Bitwarden. Уходит двумя путями: через зашифрованные Git-объекты в публичных репозиториях и под видом OpenTelemetry-трейсов. Отдельный бонус: вредонос внедряет хуки в Claude Code и Codex. Ваш ИИ-ассистент может оказаться первым, кто об этом узнает. @your_tech (теперь ещё в VK и Max)