Отродясь такого не видали, и вот опять!
(Виктор Степанович Черномырдин)
Сегодня (24 сентября) в 11:15 североамериканского восточного времени команда по инфраструктуре jQuery получила обширные сообщения и подтверждения компрометации jquery.com. Эта атака была нацелена на изменение внешнего вида (дифейсинг) их сайтов, и не внедряла вредоносный код, как об этом сообщил RiskIQ 18 сентября. Они верят, что это разные инциденты, которые, может быть, использовали одинаковый вектор атаки.
Они отключили сайт, как только они поняли, что он был скомпрометирован и стали чистить заражённые файлы. Они предприняли шаги по усилению безопасности их серверов, обновлению зависимостей и устранению уязвимостей.
Нет никаких оснований полагать, что сегодня вредоносный код распространялся с любого из их сайта, либо через библиотеки jQuery на их сайте, или что CDN (Content Delivery Network — Сеть доставки (и дистрибуции) контента) была затронута или модифицирована сегодня или в течение последней недели — об этом сообщений нет. Отчасти возникшая путаница происходит от событий последней недели, когда атакующие установили доменное имя, предназначенное для обмана пользователей, думающих, что это официальная jQuery CDN. Пожалуйста, обратите внимание, официальный домен для размещения файлов jQuery в их официальной CDN это code.jquery.com.
Также была обеспокоенность тем, что аккаунты разработчиков и администраторов, которые используют jquery.com и остальные их сайты WordPress были как-то скомпрометированы этой атакой. Тем не менее, в эту атаку вовлечены только аккаунты членов команды jQuery на этих сайтах WordPress; у них нет каких бы то ни было публичных пользовательских регистраций для любых видов аккаунтов и для любых вовлечённых сайтов.
Они продолжают активно работать и мониторить эту ситуацию и они расскажут нам обновления как только сами будут знать что-то новое.
Обновление
Команда jQuery перенесла http://jquery.com на новый сервер, на котором запущен только код, которому они доверяют, и они продолжают внимательно мониторить ситуацию, — 24 сентября в 17.07 североамериканского восточного времени (отправлено через Twitter)
Источник: http://blog.jquery.com/2014/09/24/update-on-jquery-com-compromises/