@yesfreenet @ludivokrug Я думаю, это никогда нормально не работало, просто громких историй не было. А так захват всяких node.js пакетов с подменой кода - дело привычное.

Как недавно тут проскочила история про китаянку, что настрочила в свой сегмент Википедии две сотни вымышленных статей об истории России. Тоже ведь опенсорс, общественная модерация, пятое-десятое. Так вот заметили через десять лет.

Нет никакой магии в опенсорсе. Открытость лучше, нежели закрытость, но сама по себе она не гарантирует безопасности.

@yesfreenet @ludivokrug А, кстати, вот история из жизни. У меня на работе лет этак 15(!) лет назад разработчики ухитрились использовать такой зловредный пакет в очередной версии внутреннего ПО. Самая мякотка была в том, что боевая нагрузка там срабатывала не сразу и только при исполнении на клиенте. На тестах ничего не заметили.

Потом обновление разошлось по сети на клиенты, а поскольку зловред был известен, то уже там антивирус при его проявлении вражий код вынес, заодно парализовав работу системы.

Все очень порадовались, так как сеть у нас была распределённая территориально, местами на очень плохих каналах и, если маленькие обновления туда пролезали, то взять и перенакатить удалённо всю торговую систему было уже нереально кое-где. Инженеры взяли в зубы флешки и поехали по остановившимся магазинам.