Ви технічний розробник Web3, і одного дня на соціальних платформах з'явилося повідомлення — компанія, яка виглядала великою, наймає працівників. Позиція приваблива, ставлення непереможне, і інша сторона навіть швидко надіслала стиснений пакунок, заявивши, що це «кодова база для питань на співбесіді».

Ви не надто замислювалися, і одним клацанням пальця було виконано встановлення npm.

У цю секунду ви «заражені». Ваші облікові дані входу, дані браузера та приватні ключі криптогаманця, що містить ваші активи, упаковуються і надсилаються на сервер у темному кутку. Невдача на роботі — це дрібниця, а справжня проблема в тому, що ти стаєш чужим банкоматом.

Воно називається «Заразне інтерв'ю», і звучить як наукова фантастика, але це відбувається. Нещодавній звіт команди дослідників безпеки показує, що понад 300 шкідливих пакетів коду було завантажено до NPM — центрального центру, який забезпечує будівельні блоки коду для мільйонів розробників по всьому світу.

Головний організатор цього вказує на хакерську групу в певній країні. Країна, яку часто ігнорують на міжнародній арені, але яка має першокласні можливості для кібервійни. Цей контраст справді вартий того, щоб пограти.

Чому NPM платформи став найбільш постраждалим регіоном? Говорячи прямо, це як величезна відкрита бібліотека — будь-який розробник може завантажити пакети коду, а програмісти по всьому світу можуть їх витягти. Зручність і ризик часто йдуть пліч-о-пліч. І коли хакери дивляться на цей механізм, пакують і завантажують «будівельні блоки» з шкідливим кодом, завантажувач просто беззахисний. Особливо розробники, які хочуть вирішувати проблеми якомога швидше і не мають часу переглядати код рядок за рядком.