← На главную

Атака на npm показала, что защиту реестра в мире непроверенных пакетов нельзя обеспечить

16.05.2026 00:36 · hackernews

После разрушительной атаки на реестр npm, ставшей причиной компрометации миллионов корпоративных приложений и утечи миллиардов записей пользователей, разработчики экосистемы JavaScript выразили глубокое горе, заявив, что такой кризис был неизбежен. Старший фронтенд-инженер Марк Ванс резюмировал ситуацию фразой, что цена создания современных веб-приложений — жизнь в мире, где мы полагаемся на 40-уровневое вложенное дерево непроверенных пакетов от анонимных людей. Ванс заявил, что невозможно заранее предугадать захват забытого утилитарного пакета и внедрение майнера криптовалют в все продакшн-сборки, называя это «актом природы». Прямо к моменту публикации жители экосистемы Node.js утверждали, что выполнение вредоносного удалённого кода является полностью непредсказуемой трагедией. Пока команды DevOps суетятся и пытаются сменить корпоративные ключи AWS, разработчики других сред вроде Go и Rust сообщали об отсутствии инцидентов. Эти сообщества полагаются на мощные стандартные библиотеки и встроенную в инструменты криптографию, что спасло глобальную логистику от краха. Пресс-секретарь npm заявил, что защита от злоумышленников невозможна из-за отсутствия реестровых политик и песочниц сборки, способных остановить атаку. Он добавил, что реестр npm по умолчанию с радством запускает произвольные скрипты установки на локальных машинах. Пока завтра утром случится следующая неизбежная утечка, сообществу придётся сохранять устойчивость.

Читать оригинал →