Отключение WB и npm: причины и защита

Отключение WB и причем тут npm

Вчера Роскомнадзор начал блокировку Instagram, но многие пользователи столкнулись с недоступностью совсем другого ресурса с фиолетовой иконкой. Это сразу же породило множество мемов о жопорукости отдельных ИТ-специалистов.

Однако, судя по информации в новостниках, блокирующий орган тут вовсе не причем. По слухам Wildberries столкнулись с вирусом-шифровальщиком, который запустился при разворачивании ПО на серверах.

Можно предположить, что вирус распространяется через NPM и запускается на этапе postinstall. Такой механизм встречается у многих пакетов: одни в postinstall добавляют просьбы закинуть деньжат в поддержку автора, другие добавляют иные манифесты.

В связи с этой ситуацией часть русских компаний уже ввели кодфриз до выяснения причин проблемы Вайлдберриз.

Я же советую быть осторожнее с npm: — временно воздержаться от обновлений — убрать символы ~, ^, x у версий в package.json — по возможности использовать локальный npm-репозиторий

Берегите себя

@frontend_batya