Популярная библиотека npm «coa» была захвачена сегодня с внедрением в нее вредоносного кода, что временно повлияло на конвейеры React по всему миру.
Библиотека coa, сокращенно от Command-Option-Argument, получает около 9 миллионов загрузок еженедельно на npm и используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub.
Вредоносный код, внедренный в выпуски coa
Сегодня разработчики всего мира были удивлены, увидев новые выпуски библиотеки npm coa — проекта, к которому не прикасались годами, неожиданно появившиеся на npm.
coa — это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года.
Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm несколько часов назад, нарушая пакеты React, которые зависят от coa.
«Я не знаю, почему и что произошло, но 10 минут назад был релиз (хотя последнее изменение на GitHub было в 2018 году). Что бы ни случилось с этим релизом, он сломал Интернет», — сказал Роберто Уэсли Овердийк, разработчик React.
Последнее обновление 05.01.2023
