El gusano Mini Shai-Hulud secuestra 323 paquetes npm en menos de 30 minutos a través de una sola cuenta robada

El 19 de mayo, el gusano Mini Shai-Hulud comprometió una cuenta de mantenedor de npm y distribuyó 639 versiones maliciosas en 323 paquetes en menos de 30 minutos. La cuenta comprometida, “atool” ( [email protected] ), publica toda la pila de visualización de datos @antv de Alibaba junto con bibliotecas independientes utilizadas en paneles de control de criptomonedas, interfaces DeFi y aplicaciones fintech. Los objetivos con mayor tráfico son: size-sensor con 4,2 millones de descargas semanales, echarts-for-react con 1,1 millones, @antv/scale con 2,2 millones y timeago.js con 1,15 millones. Los proyectos que utilizaban rangos de versión semántica como ^3.0.6 para...