Новый червь в npm-пакетах атакует токены разработчиков

Исследователи обнаружили новый самораспространяющийся червь в npm-пакетах, который крадет токены разработчиков для дальнейшего заражения цепочки поставок. Угроза получила название CanisterSprawl из-за использования ICP-контейнеров для скрытой передачи украденных данных. Разработчикам стоит быть предельно внимательными при использовании сторонних зависимостей. Почему это важно: такая механика позволяет вредоносному коду автоматически масштабировать атаку через аккаунты доверенных разработчиков.