Нова вълна зловредни NPM пакети (сред които crypto-encrypt-ts) е открита – таргетират крипто портфейли, .env файлове и MongoDB бази данни. Малуерът се внедрява като зависимости в проекти, често с обфускиран код и имена наподобяват легитимни библиотеки.
Уязвените пакети изпращат чувствителна информация – API ключове, конфигурации, URI-та – към отдалечен сървър, активирайки бекдор веднага след инсталация или билд. Основната цел засега са проекти, хоствани или разработвани в Турция, но рискът е глобален.
Какво да направите веднага:
- Сканирайте проектите си с
npm audit, socket.dev, Snyk. - Проверете
.envфайловете – не ги качвайте никъде. - Избягвайте зависимости с <100 звезди или без GitHub активност.
- Заключвайте версии (package-lock.json), не слагайте * или latest.
Помнете: дори npm install вече не е безопасна операция.