The Worm in the Registry

Um ataque de seis minutos comprometeu o modelo de confiança do desenvolvimento moderno de JavaScript, distribuindo 84 versões maliciosas em 42 pacotes do namespace @tanstack através de um pipeline de lançamento legítimo. O "worm" se espalhou para mais de 170 pacotes no npm e PyPI, afetando mais de 518 milhões de downloads cumulativos e visando o roubo de credenciais.