Обнаружен вредоносный пакет npm 'esbuild-linux-arm32' — рекомендуется немедленный аудит и очистка

Основное обновление

14 августа 2025 года был идентифицирован пакет npm с именем esbuild-linux-arm32, содержащий вредоносный код (запись OSV MAL-2025-19818). Это не ошибка в исходном коде esbuild, а вредоносный или скомпрометированный пакет в пространстве имен npm, который может быть включен в проекты из-за нестрогих зависимостей, неправильной настройки зеркал/прокси или неосторожной установки.

Почему это важно

esbuild встроен во многие фронтенд-инструменты (Vite, фреймворки, инструменты сборки). Вредоносный бинарный пакет esbuild-* в вашей графе зависимостей означает, что злоумышленник может выполнить произвольный код во время установки или когда работает сервер разработки/бинарный файл, что создает риск кражи кода, эксфильтрации секретов или устойчивости цепочки поставок. Практические немедленные действия: проверьте ваш lock-файл и node_modules на наличие неожиданных пакетов esbuild-*, выполните npm ci (или эквивалент) из зафиксированного lock-файла, а не устанавливайте ненадежные новые пакеты, удалите любой пакет esbuild-linux-arm32, измените учетные данные, которые были доступны в затронутой среде, и добавьте списки разрешенных пакетов/имен или проверки происхождения пакетов в CI. Для команд обеспечьте строгую работу с lock-файлами, кэшируйте или зеркальте доверенные пакеты и добавьте автоматизированные сканирования на наличие вредоносных/несоответствующих имен пакетов.

Источник

• Источник