Mini Shai-Hulud: npm-пакеты-двойники крадут ваши облачные секреты!

Представьте: вы скачиваете привычный npm-пакет, а он оказывается подделкой, которая сливает ваши ключи доступа к облакам и CI/CD! Именно так работает кампания Mini Shai-Hulud, используя тайпсквоттинг – когда злоумышленники регистрируют пакеты с названиями, похожими на популярные. Цель проста: получить доступ к вашим AWS, Azure или другим учетным данным, сидя прямо у вас в dev-окружении. Чтобы не попасться, всегда проверяйте источники пакетов (npmjs.com или официальные репозитории), используйте NPM Audit и внедряйте строгие политики безопасности для зависимостей. Один неверный символ в названии может стоить очень дорого!