"Их борьба". Сегодня был немного занят и как-то до этой новости руки не дошли, хотя ей уже сутки и слышал про неё ещё вчера. Вкратце - какой-то хер модифицировал свою библиотечку для npm, превратив её в зловредное явление. А именно - если вам не повезло использовать сабж (а он в том числе используется в vue у фронтендеров), то была вероятность при раскатке на машинах с "российскими/белорусскими" IP лишиться части файлов.
Помнится была похожая история с crosser bot и вот этим всем - нежданно, негаданно, бот оказался хохляцким и напостил говна в каналы. Здесь примерно то же самое.
Как защититься от такого мелкого пакостничества? Делать сборку в изолированных средах. Сборочные агенты в отдельных docker-контейнерах, в виртуалках, итп. Короче говоря в неких песочницах, изолированных от хост-систем и критичных элементов инфраструктуры. И нет, это, к сожалению, не последний выдох, так что принимайте меры.
Насчёт изобретения своих велосипедов (долго, дорого, не всегда оправдано) тоже можно.
Помнится была похожая история с crosser bot и вот этим всем - нежданно, негаданно, бот оказался хохляцким и напостил говна в каналы. Здесь примерно то же самое.
Как защититься от такого мелкого пакостничества? Делать сборку в изолированных средах. Сборочные агенты в отдельных docker-контейнерах, в виртуалках, итп. Короче говоря в неких песочницах, изолированных от хост-систем и критичных элементов инфраструктуры. И нет, это, к сожалению, не последний выдох, так что принимайте меры.
Насчёт изобретения своих велосипедов (долго, дорого, не всегда оправдано) тоже можно.