Массовая атака на npm: под ударом TanStack, Mistral AI и ещё 170+ пакетов

Свежая новость из мира Node.js: npm-экосистема снова под прицелом. На этот раз атака затронула целых 174 пакета, включая такие известные имена, как TanStack (React Query) и Mistral AI. Если вы думали, что ваша сборка в безопасности, потому что вы не используете left-pad — спешу вас огорчить.

Суть атаки: злоумышленники опубликовали вредоносные версии популярных пакетов, которые при установке запускали скрипт, крадущий переменные окружения и токены. Это классическая supply chain атака, когда код внедряется не в сам проект, а в зависимости. Как говорится, "доверяй, но проверяй" — только в npm почему-то про вторую часть часто забывают.

Особенно пикантно, что среди пострадавших — библиотеки, связанные с AI (Mistral AI). Видимо, хакеры тоже следят за трендами и решили, что украсть ключи от AI-сервисов — идея получше, чем угнать чей-то криптокошелек. Ну а TanStack — это вообще must-have для любого React-разработчика, так что масштаб бедствия впечатляет.

Что делать? Стандартный джентльменский набор: проверьте свои package-lock.json, обновите зависимости до последних патчей, и, ради всего святого, не запускайте npm install с флагом --ignore-scripts, если не уверены в источнике. А ещё лучше — используйте lock-файлы и сканируйте зависимости инструментами вроде npm audit или Safedep (кстати, они же и нашли эту атаку, респект).

Комментарий студии METABYTE: Эта атака — очередное напоминание, что безопасность цепочки поставок — не блажь, а необходимость. Если ваш проект использует десятки npm-пакетов, подумайте о внедрении SCA-сканирования ещё до того, как хакеры решат "пошалить" с вашими зависимостями. Ну а мы, как всегда, готовы помочь с аудитом и настройкой безопасного CI/CD, чтобы вы спали спокойно.