Осторожно: вредоносный пакет TanStack крадет данные разработчиков

На npm обнаружен вредоносный пакет «tanstack», который маскировался под легитимный SDK «TanStackPlayer». Сразу после установки скрипт postinstall крадет файлы окружения разработчика с целевой машины. Это классическая атака типа supply chain, нацеленная на кражу конфиденциальных данных из локальных конфигураций. Почему это важно: подобные вредоносы эксплуатируют доверие к популярным именам библиотек, позволяя хакерам получить доступ к ключам доступа и паролям еще до начала работы с кодом.