Тема пришла из обсуждения на Reddit: пользователи r/technology спорили о том, почему TanStack npm-пакеты были скомпрометированы. Пост набрал тысячи голосов за день — значит, задело.
Как это вообще случилось
В один день, между 19:20 и 19:26 UTC, 84 скомпрометированных npm-пакета были опубликованы в рамках 42 пакетов TanStack. Это была настоящая Mini Shai-Hulud атака.
Злоумышленники использовали пост-установочный скрипт для кражи данных разработчиков. Они регистрировали фальшивые пакеты и использовали путаницу с доверенным TanStack, чтобы обмануть пользователей.
Что говорят люди в комментариях
«Это как же так? Использую TanStack, и тут такое» — пользователь DannaWasHerName.
«Надо быть осторожным с npm» — пользователь repeating_bears.
Почему это важно
Это напоминает нам о том, что безопасность цепочки поставок имеет решающее значение. Если злоумышленники могут легко обмануть пользователей и украсть их данные, нам нужно быть более бдительными.
Анализ рынка: что уже существует
В России
- Нет прямых аналогов для защиты от таких атак.
За рубежом
- Snyk — сервис для обнаружения уязвимостей в коде и зависимостях.
- Socket — сервис для мониторинга безопасности npm-пакетов.
Незакрытая ниша: нет русскоязычного сервиса для мониторинга безопасности npm-пакетов.
💡 Идеи для предпринимательства
Сайты
- Русскоязычный аналог Snyk — сервис для обнаружения уязвимостей в коде и зависимостях.
- Блог о безопасности npm-пакетов — пишем статьи о том, как защититься от атак.
Мобильные приложения
- Телеграм-бот для мониторинга безопасности npm-пакетов — присылает уведомления о новых уязвимостях.
- Утилита для проверки зависимостей — помогает разработчикам выявлять уязвимости.
Бизнес-идеи
- Консультации по безопасности npm-пакетов — платная услуга для разработчиков.
- Сервис для мониторинга безопасности npm-пакетов — подписка для команд разработчиков.