Атака на axios в npm: как один захваченный аккаунт поставил под угрозу миллионы JavaScript-проектов
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю). Злоумышленник получил доступ...
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю). Злоумышленник получил доступ к аккаунту одного из ведущих мейнтейнеров проекта и опубликовал две вредоносные версии пакета: axios@1.14.1 и axios@0.30.4.На первый взгляд это выглядит как обычное обновление зависимости. Но на деле установка этих версий могла привести к заражению системы трояном удалённого доступа.
Краткая сводка
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю).
Связанные теги
Компании и люди
Линия сюжета
Axios
Последние материалы и связанный контекст по теме Axios.
Axios
Последние материалы и связанные ссылки по теме Axios.
Habr
Последние материалы и связанный контекст по теме Habr.
Habr
Последние материалы и связанные ссылки по теме Habr.
Http
Последние материалы и связанный контекст по теме Http.
JavaScript
Последние материалы и связанный контекст по теме JavaScript.
JavaScript
Последние материалы и связанные ссылки по теме JavaScript.
Продолжить следить за темой
Переходите к связанным материалам, страницам сущностей и активным линиям сюжета.
Записки выжившего лемминга — Часть 1. Паттерны убивают
Прошлой осенью я лишился своего VPN-сервиса. Классический селфхостед на VDS, поднятом у зарубежного хостера, без посредников. Работал надёжно, стоил копейки — и я привык к тому,...
Анатомия фаззинг-атак: как сканируют сервера в 2026 году (разбор 20 000 строк логов Nginx)
Привет, Хабр!В прошлой статье я рассказывал, что с недавнего времени я развлекаюсь в мире highload тем что создаю для себя и своих близких мессенджер (Plumb). И несмотря на то, ...
AI это для DevOps. Разбираем упавшие упавшие пайплайны с ассистентом
AI ассистенты уже просто вошли в процессы разработки кода, но что на счет DevOps задач и CI/CD в частности? Думаю здесь их полезность может оказаться не чуть не меньше.Как часто...
Почему искусственный интеллект не может заменить врачей и ученых, но может им помочь
Всем добрый день! Я уже почти 15 лет работаю в сфере разработки инновационных лекарственных препаратов и диагностических инструментов, и на моей памяти приход новых технологий н...
df врёт. du врёт. Где на самом деле гигабайты?
Сервер лагает. Смотришь на диск — df -h говорит 95% занято. Запускаешь du -sh /* — в сумме набирается 20%. Куда делись остальные 75%? Файлы не найти, место не освободить, сервис...
Эпические баги: как переиспользование вызова функции принесло убыток в $450.000.000
Продолжаем тему эпических багов. В прошлый раз мы говорили про AT&T, положивших свою ультранадежную сеть одним "Break" в коде. Сегодня на очереди Knight Capital Group, решивших ...
Страницы сущностей
Рекламный слот
Встроенный блок в статье
Зарезервированный партнерский слот для релевантных инструментов, сервисов и аккуратных редакционных интеграций.
Похожие статьи
Еще материалы, которые пересекаются по тегам, источнику или категории.
Записки выжившего лемминга — Часть 1. Паттерны убивают
Прошлой осенью я лишился своего VPN-сервиса. Классический селфхостед на VDS, поднятом у зарубежного хостера, без посредников. Работал надёжно, стоил копейки — и я привык к тому,...
Анатомия фаззинг-атак: как сканируют сервера в 2026 году (разбор 20 000 строк логов Nginx)
Привет, Хабр!В прошлой статье я рассказывал, что с недавнего времени я развлекаюсь в мире highload тем что создаю для себя и своих близких мессенджер (Plumb). И несмотря на то, ...
AI это для DevOps. Разбираем упавшие упавшие пайплайны с ассистентом
AI ассистенты уже просто вошли в процессы разработки кода, но что на счет DevOps задач и CI/CD в частности? Думаю здесь их полезность может оказаться не чуть не меньше.Как часто...
Почему искусственный интеллект не может заменить врачей и ученых, но может им помочь
Всем добрый день! Я уже почти 15 лет работаю в сфере разработки инновационных лекарственных препаратов и диагностических инструментов, и на моей памяти приход новых технологий н...
Еще материалы от Habr
Свежие публикации и продолжение темы от той же редакции.
Записки выжившего лемминга — Часть 1. Паттерны убивают
Прошлой осенью я лишился своего VPN-сервиса. Классический селфхостед на VDS, поднятом у зарубежного хостера, без посредников. Работал надёжно, стоил копейки — и я привык к тому,...
Анатомия фаззинг-атак: как сканируют сервера в 2026 году (разбор 20 000 строк логов Nginx)
Привет, Хабр!В прошлой статье я рассказывал, что с недавнего времени я развлекаюсь в мире highload тем что создаю для себя и своих близких мессенджер (Plumb). И несмотря на то, ...
AI это для DevOps. Разбираем упавшие упавшие пайплайны с ассистентом
AI ассистенты уже просто вошли в процессы разработки кода, но что на счет DevOps задач и CI/CD в частности? Думаю здесь их полезность может оказаться не чуть не меньше.Как часто...
Почему искусственный интеллект не может заменить врачей и ученых, но может им помочь
Всем добрый день! Я уже почти 15 лет работаю в сфере разработки инновационных лекарственных препаратов и диагностических инструментов, и на моей памяти приход новых технологий н...