JavaScript девелъпъри: очите на четири при NPM пакетите

Нова вълна зловредни NPM пакети (сред които crypto-encrypt-ts) е открита – таргетират крипто портфейли, .env файлове и MongoDB бази данни. Малуерът се внедрява като зависимости в проекти, често с обфускиран код и имена наподобяват легитимни библиотеки.

Уязвените пакети изпращат чувствителна информация – API ключове, конфигурации, URI-та – към отдалечен сървър, активирайки бекдор веднага след инсталация или билд. Основната цел засега са проекти, хоствани или разработвани в Турция, но рискът е глобален.

Какво да направите веднага:

• Сканирайте проектите си с npm audit, socket.dev, Snyk.
• Проверете .env файловете – не ги качвайте никъде.
• Избягвайте зависимости с <100 звезди или без GitHub активност.
• Заключвайте версии (package-lock.json), не слагайте * или latest.

Помнете: дори npm install вече не е безопасна операция.