TanStack едва не пополнил список жертв supply chain-атаки: разбор полётов

На днях TanStack опубликовал постмортем инцидента, который едва не превратил их npm-пакеты в троянского коня. Злоумышленник получил доступ к аккаунту одного из мейнтейнеров и попытался запушить вредоносный код в TanStack Router. Хорошая новость: сработали автоматические проверки, и атака была заблокирована до того, как заражённая версия ушла в релиз.

Как это обычно бывает в таких историях, всё началось с фишинга или утечки токена — точные детали пока не раскрыты. Но сам факт того, что атакующий смог добраться до репозитория, заставляет задуматься: насколько безопасны наши цепочки поставок? Если бы не автоматические хуки и CI, мы бы сейчас читали не постмортем, а экстренный гайд по сбросу npm-кеша.

Разработчикам стоит извлечь из этого два урока. Первый: включите двухфакторную аутентификацию везде, где только можно, и особенно на npm. Второй: настройте автоматические проверки безопасности в CI — они могут спасти вас от ночного кошмара, когда ваш пакет внезапно начинает майнить криптовалюту на серверах пользователей.

Кстати, TanStack Router — это не просто ещё одна библиотека для навигации. Её используют в тысячах проектов, и компрометация могла бы затронуть миллионы пользователей. Так что спасибо автоматике и бдительности: очередная supply chain-катастрофа не случилась.

Комментарий студии METABYTE: Мы всегда говорим: безопасность — это не фича, а процесс. И если ваш CI/CD пайплайн не проверяет каждую строчку кода на вредоносные вставки, то вы играете в русскую рулетку с open source. Наши инженеры настраивают такие проверки за пару часов — и это дешевле, чем потом разгребать последствия атаки.