NPM debug and chalk packages compromised

Пакеты debug и chalk в npm скомпрометированы: вредоносный код крадёт токены и env-переменные.
Уязвимые версии: debug 4.3.7, chalk 5.4.0 (и производные).
Действие: удалить/откатить, сменить секреты, включить Aikido SafeChain для блокировки установки заражённых пакетов.

Автор популярных npm-пакетов (chalk, debug и др.) попался на фишинг, злоумышленники опубликовали вредоносные версии.
Малварь в браузере подменяет крипто-адреса, выбирая наиболее визуально похожие.
Пострадавшие пакеты суммарно скачаны >1 млрд раз, но активность злоумышленников пока минимальна.
Участники обсуждения винят npm в отсутствии контроля, требуют подписей пакетов и «заморозки» новых версий.
Основной совет: отключить авто-обновления, ставить только из git-источников, использовать sandbox/VM и hardware-ключи вместо TOTP.