8 сентября 2025 года в экосистеме NPM была выявлена одна из крупнейших атак на цепочку поставок. Злоумышленники опубликовали вредоносные версии десятков популярных пакетов, которые загружаются миллиардами раз еженедельно. Источником стала фишинговая атака на известного разработчика NPM. Вредоносный код был нацелен на криптокошельки в сетях Bitcoin, Bitcoin Cash, Litecoin, Solana и Ethereum, однако Stellar не оказалась в зоне риска.
Stellar Development Foundation (SDF) заявила, что все её проекты на GitHub полностью безопасны. Команды инженеров и специалистов по безопасности сразу провели проверку и не нашли вредоносных пакетов. Дополнительно все NPM-зависимости были закреплены за последними проверенными версиями.
Несмотря на то что заражённые пакеты уже удалены из реестра, угроза продолжает развиваться. SDF рекомендует разработчикам проверить свои проекты на использование опасных версий, зафиксировать безопасные релизы и провести аудит пайплайнов сборки и развертывания. Также советуется проверить рабочие станции разработчиков, использовавших NPM в последние дни.
по материалам
уникальность
