npm в огне: RAT-троян в Axios и утечка 500 тыс. строк кода Claude Code от Anthropic

31 марта экосистема npm столкнулась с двойным ударом, обнажившим критические уязвимости в цепочке поставок ПО. В один день в популярнейшей библиотеке Axios, которая используется практически повсеместно, на три часа был обнаружен и развёрнут удалённый троян (RAT). Практически одновременно компания Anthropic случайно опубликовала в публичный npm-репозиторий полные исходные коды своей модели Claude Code — около полумиллиона строк, включая промпты и архитектурные решения.

Первый инцидент с Axios представляет собой классическую атаку на цепочку поставок. Внедрение RAT в одну из самых распространённых зависимостей создало мгновенный риск для миллионов проектов по всему миру. Второй случай — утечка интеллектуальной собственности Anthropic — носит иной характер, но не менее серьёзен. Публикация 500 тысяч строк исходного кода, включая внутренние промпты и архитектуру Claude Code, раскрывает конкурентные секреты и потенциальные уязвимости модели, которые теперь доступны для анализа любым желающим.

Эти параллельные события усиливают давление на безопасность экосистемы npm и доверие к открытому ПО. Инцидент с Axios демонстрирует, насколько хрупкой может быть зависимость от ключевых библиотек, в то время как утечка Anthropic поднимает вопросы о внутренних процессах контроля за публикацией кода в крупных AI-компаниях. Оба случая требуют срочного аудита зависимостей от тысяч разработчиков и могут привести к ужесточению практик публикации пакетов как со стороны maintainers, так и со стороны корпораций.