Как вредоносный код переписал мой Git-коммит и заразил десятки проектов и несколько рабочих машин

[santjagocorkez]

1. Купите всем разработчикам (== лицам, с доступом в репо на запись) YubiKey

2. Настройте обязательное требование к каждому коммиту: подписан PGP разработчика, указанного в поле «автор»

3. Локальные PGP/GnuPG и подобные решения с помощью инструментов от YubiCo настройте на обязательную проверку присутствия владельца ключа: PIN+touch. Без прикосновения к ключу запрос на подпись отвалится по тайм-ауту.

[nodevner]

Автор, спасибо за разбор, ждём вторую часть. А источник заражения в итоге нашли? Интересно, это заражённый npm пакет или сторонний вирус?