Mini Shai-Hulud снова ударил по цепочке поставок в npm и PyPI
Даже 2FA, доверенная публикация через GitHub Actions и запись о происхождении сборки не гарантируют, что опубликованный пакет безопасен. По данным Aikido, в npm обнаружили 373 вредоносные версии в 169 пакетах, передаёт Securitylab. Wiz.io связывает атаку с группой TeamPCP и пишет, что операция началась 11 мая 2026 года и затронула сразу несколько пространств имён. Endor Labs отдельно указывает на более чем 160 взломанных версий и подчёркивает, что среди них были 84 пакета @tanstack, включая @tanstack/react-router с примерно 12 млн загрузок в неделю...
Copyright information of photo and video materials was taken from the website «Information Security» , more details in our Terms of Use