Та от знову

Вчора розробники TanStack повідомили, що невідомі зловмисники здійснили атаку на ланцюг постачання та скомпрометували одразу 42 пакети екосистеми, випустивши 84 шкідливі версії.

Дослідники виявили, що зловмисники не зламували особисті акаунти розробників, а використали ланцюжок вразливостей в архітектурі GitHub Actions, щоб безпосередньо опублікувати заражені версії прямо в реєстр npm.

Якщо ви встановлювали будь-які пакети з родини @tanstack/* вчора (зверніть увагу, що пакети query, table, form, virtual та store підтверджено залишилися чистими), вам потрібно перевіритися.

Будь-який хост або CI-сервер, де відбулося встановлення в цей день, апріорі вважається скомпрометованим. Вам необхідно замінити всі локальні ключі, SSH-сертифікати, хмарні токени та доступи до баз даних, які можна було дістати з вашого пристрою.

https://dou.ua/forums/topic/59443/

За 18 годин до атаки хтось із поштою nrwise@proton.me публікує пакет plain-crypto-js@4.2.0. Це була копія легітимної бібліотеки crypto-js.

30 березня 2026 року о 23:59 UTC публікується шкідлива версія plain-crypto-js@4.2.1. Автором вказано jasonsaayman.

У найближчі 39 хвилин хакери публікують axios@1.14.1 та axios@0.30.4, єдина зміна в яких — це додавання цієї шкідливої залежності.

Будь-який проєкт, у якому стояли не суворі залежності (наприклад, ^1.14.0 або ^0.30.0), автоматично підтягнув би вірус при наступному npm install.

Якщо ви використовуєте Axios, про всяк випадок, перевірте свої проєкти.

Шукайте у своїх залежностях та lock-файлах:
axios@1.14.1
axios@0.30.4
plain-crypto-js@4.2.1

Простого видалення зараженого пакета не буде достатньо. Якщо шкідливий скрипт встиг виконатися, то вам необхідно вважати всі локальні ключі, сертифікати та доступи скомпрометованими і відкликати їх та перевипустити.

https://dou.ua/forums/topic/58693/

Google пидорнул всех ноускриптеров. Теперь гуглопоиск без javascript работать не будет.
https://techcrunch.com/2025...t-for-google-search/

Как ни придёт новый проект на ноде, так вечно он просто так тебе не сконфигурится, то версия ноды ему не так, то зависимость какая-то не прописана, теперь вот

npm Maximum call stack size exceeded

И даже принудительно

node --stack-size=2000 /usr/local/lib/node_modules/npm/bin/npm-cli.js install

не помогает.

Наверняка в зависимостях какая-то хуита прописана.

Теперь буду скидывать эту фотку, когда будут спрашивать с чего начать чтобы стать программистом.
Ps. Ну не кнута же с демидовичем скидывать.

Посоны есть проект на js с использованием npm и вебпака. Что обычно делают, если нужно немного исправить один из модулей npm.
Форкать и делать репу ради двух строк кода как-то не хочется. (Потом ещё забуду для чего эта репа и грохну ее.) А править прямо в сырцах node_module - это как-то совсем не правильно.
Как правильно сделать?

Как отлаживать css для компонента vue, если он удаляет узел из DOM при потере фокуса?
Речь о v-select и его выпадающем списке.

npm хуяк
npm хуяк
webpack в продакшн

Есть специалисты по vue? Есть вопрос по webpack'у.

Хочу програмить на nodeJS.
Что там почитать, чтобы поверхам быстро и в мейнстрим?

подача - очень-очень
https://www.youtube.com/wat...nue=41&v=h50Si9HZQeg

Я просто кайфую от typescript'а.

На клиент приходит js от платёжного шлюза с таким кодом
"undefined" != typeof global ? global : "undefined" != typeof self ? self : "undefined" != typeof window ? window : {}

Казалось бы "ну и фиг с ним". Но у меня есть объект global. В итоге весь их код не работает.
Тут вижу 3 варианта
1) рефакторинг global->global2
2) бадаться с суппортом шлюза, чтобы юзали "undefined" != typeof window ? global : "undefined" != typeof self ? self : "undefined" != typeof global ? global : {}
3) заставить typeof global возвращать false.

Вот по поводу п3. Это возможно?

Пытаюсь найти мануал о переходе с yandex.maps v1.1 на v2.1
https://tech.yandex.ru/maps...e-docpage#update-1.x
но оно не про переход а про некоторые особенности v2.1 относительно v1.1.

Мне желательно чтобы было что-то вроде такого

раньше ты писал new YMaps.GeoPoint(37.64, 55.76), а теперь пиши [55.76, 37.64]

Такое есть?

Вот firebug умеет выводить на своей иконке циферку - сколько ошибок на странице. А как сделать чтобы встроенный дебагер тоже так делал?

Бля, как же разгрести всю эту кучу css с js в состоянии "после верстальщика" и "мы пробовали всё" до состояния "теперь можно работать"?

Firebug начал постоянно писать в консоль
"Незащищённая (http://) страница содержит поля для ввода пароля. Это представляет собой угрозу безопасности, которая позволяет украсть учетные данные для входа пользователя."
Я понимаю что он хочет жтим сказать. Но как это уведомление отключить?