🚨 重大なサプライチェーン攻撃が現在進行中

@ferossがこれを公開しました：axios (100M+の週次ダウンロード数 ) 最新バージョンの1.14.1と0.30.4が侵害されました。
攻撃者はメンテナのnpmアカウントを乗っ取り、plain-crypto-js@4.2.1を忍び込ませました。これは完全なRATドロッパーであり：
• postinstallで動作 (インポート不要 )
• シェルコマンドを逆アスキー化＆実行
• プラットフォーム固有のマルウェアをドロップ (macOS、Windows、Linux )
• 追跡を隠すために自己破壊
axios (に直接または間接的に依存している人気の暗号プラットフォームとウォレットには：
• MetaMask
• Trust Wallet
• Coinbase Wallet
• Uniswap
• OpenSea
• Phantom
クリプト用語アルファ：
あなたがANYのNode.js暗号ツール（MEVボット、取引スクリプト、オンチェーンインデクサー、ウォレットコネクターなど）を実行している場合、今すぐにでも危険にさらされています。
axiosを1.14.0または0.30.3にピン留めしてください。ロックファイルを監査してください。過去12時間以内にインストールした場合は侵害を想定してください。
「plain-crypto-js」というパッケージ名がマルウェアを書いている皮肉…シェフズキス 😭
すでにSocket Securityを導入しているか、依存関係をピン留めしていますか？それともまだ「npm install latest」派ですか？