👮‍♀️ npm под атакой: кейс Shai-Hulud

В сентябре через фишинг взломали аккаунты мейнтейнеров и выпустили заражённые версии популярных пакетов (debug, chalk, ansi-styles, @ctrl/tinycolor).

Зловред действовал как червь: крал токены/ключи, внедрял скрытые GitHub Actions и самопубликовался.

➡️ Последствия: массовая утечка секретов, риски для CI/CD и облачных аккаунтов.

📌 На картинке — мини-чеклист, что делать, если вы используете эти пакеты.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown