package hijacking npm

  1. Сергей Попов

    Статья Supply chain attack npm: реверс-инжиниринг двухступенчатого payload от bootstrap до C2

    11 мая 2026 года кто-то за несколько минут прогнал через легитимный CI/CD-пайплайн TanStack десятки вредоносных версий npm-пакетов - каждая с валидной SLSA-аттестацией Build Level 3. Среди пострадавших: @tanstack/react-router, официальный клиент @opensearch-project/opensearch (advisory...