Babala sa seguridad: Isa pang kilalang developer maintainer ng NPM account ay na-hack at na-injectan ng malware na nagnanakaw ng wallet

BlockBeats balita, Setyembre 9, ayon sa Socket monitoring, ang patuloy na NPM supply chain attack ay kumalat mula sa kilalang developer na si Qix patungo sa isa pang mataas na kilalang maintainer. Ang NPM account na duckdb_admin, na responsable para sa mga DuckDB related packages, ay na-hack at maraming bersyon ng malicious packages ang nailathala. Ang injected na code ay kapareho ng wallet-stealing malware na ginamit noong naapektuhan ang Qix account, na malakas na nagpapahiwatig na bahagi ito ng parehong attack operation.

Ayon sa naunang ulat, sinabi ng Ledger CTO na nagkaroon ng malawakang supply chain attack at maaaring malagay sa panganib ang buong JavaScript ecosystem. Ngunit hindi nagtagumpay ang NPM attackers at halos walang naging biktima.