RA
За 18 годин до атаки хтось із поштою nrwise@proton.me публікує пакет plain-crypto-js@4.2.0. Це була копія легітимної бібліотеки crypto-js.
30 березня 2026 року о 23:59 UTC публікується шкідлива версія plain-crypto-js@4.2.1. Автором вказано jasonsaayman.
У найближчі 39 хвилин хакери публікують axios@1.14.1 та axios@0.30.4, єдина зміна в яких — це додавання цієї шкідливої залежності.
Будь-який проєкт, у якому стояли не суворі залежності (наприклад, ^1.14.0 або ^0.30.0), автоматично підтягнув би вірус при наступному npm install.
Якщо ви використовуєте Axios, про всяк випадок, перевірте свої проєкти.
Шукайте у своїх залежностях та lock-файлах:
axios@1.14.1
axios@0.30.4
plain-crypto-js@4.2.1
Простого видалення зараженого пакета не буде достатньо. Якщо шкідливий скрипт встиг виконатися, то вам необхідно вважати всі локальні ключі, сертифікати та доступи скомпрометованими і відкликати їх та перевипустити.