Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от opennews (??), 17-Сен-25, 09:27
Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации  NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63894
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Сен-25, 09:27	+21 +/–
> червь поразил 187 пакетов в NPM Не может быть! Никогда такого не было!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #18, #116

2. Сообщение от Аноним (-), 17-Сен-25, 09:47	–7 +/–
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages. Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

3. Сообщение от Аноним (3), 17-Сен-25, 09:56	+5 +/–
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимости Невероятно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

4. Сообщение от ptr (ok), 17-Сен-25, 09:59	+11 +/–
> червь поразил Как раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе. > total of 3,583,991 packages Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24, #56

6. Сообщение от Аноним (6), 17-Сен-25, 10:04	+6 +/–
Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 17-Сен-25, 10:05	+/–
Автоматизацию теперь червем называют?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #129

10. Сообщение от freehck (ok), 17-Сен-25, 10:13	+/–
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog. Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #121

11. Сообщение от Аноним (11), 17-Сен-25, 10:13	+6 +/–
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз. Появление червя был лишь вопросом времени.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #134

12. Сообщение от Жироватт (ok), 17-Сен-25, 10:14	+5 +/–
И вот опять! Но на этот раз не криптостиллер и не майнер - уже что-то новое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #72

13. Сообщение от 12yoexpert (ok), 17-Сен-25, 10:42	+2 +/–
красивое
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от пох. (?), 17-Сен-25, 11:11	+2 +/–
Ага, а говорили - "язык плохой"!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #29

15. Сообщение от Аноним (15), 17-Сен-25, 11:13	–2 +/–
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #99

16. Сообщение от SKZ (?), 17-Сен-25, 11:32	+/–
А хоть в жабаскрипт что-нибудь компилирует?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #51, #57, #71, #82

18. Сообщение от Аноним (18), 17-Сен-25, 11:52	+1 +/–
Дежурная шутка. Уже не смешно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #26, #30, #39

20. Сообщение от Аноним (24), 17-Сен-25, 11:55	+1 +/–
Как опять? Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

21. Сообщение от Аноним (24), 17-Сен-25, 11:56	+/–
Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

23. Сообщение от Аноним (27), 17-Сен-25, 11:59	+1 +/–
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов. Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #33, #62

24. Сообщение от Аноним (24), 17-Сен-25, 12:00	+/–
А как они выявляют заражение? Сканируют каждый раз вручную весь репозитарий антивирусом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #40, #109

25. Сообщение от Аноним (24), 17-Сен-25, 12:03	–1 +/–
>которые способен обнаружить сканер TruffleHog Не пора ли объявить указанный пакет зловредом в их репозитарии? Или будут продолжать жрать кактус и выкапывать стюардессу...
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 17-Сен-25, 12:05	+3 +/–
> Дежурная шутка. Уже не смешно. Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #97

27. Сообщение от Аноним (27), 17-Сен-25, 12:08	+/–
А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

28. Сообщение от Веб разработчик (?), 17-Сен-25, 12:09	+1 +/–
А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #41, #88, #123, #135, #138

29. Сообщение от Аноним (29), 17-Сен-25, 12:10	+3 +/–
Прямо с языка сорвал. Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #34

30. Сообщение от Жироватт (ok), 17-Сен-25, 12:13	+3 +/–
Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от Аноним (31), 17-Сен-25, 12:18	+1 +/–
Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #35, #70

32. Сообщение от SKZ (?), 17-Сен-25, 12:28	+4 +/–
NPM и всре жабаскриптовое болото - это сам по себе червь, пожирающий тонны ресурсов по всему миру.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

33. Сообщение от Карлос Сношайтилис (ok), 17-Сен-25, 12:36	–2 +/–
> задуматься от отказа от подобных моделей растпространения пакетов Проблема не в модели, а в отсутствии изоляции. Большинство разработчиков не используют локально контейнеры и при запуске пакетов, и те могут делать с локальной фс что захотят. Это не просто дырочка в безопасности, это целый портал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #117

34. Сообщение от Аноним (34), 17-Сен-25, 12:38	–1 +/–
Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43, #49

35. Сообщение от Аноним (34), 17-Сен-25, 12:39	+/–
Но а где взять на замену столько прокладок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

36. Сообщение от Ценитель GPL рогаликов (?), 17-Сен-25, 12:47	+/–
Чуть ли не каждую неделю какие проблемы с безопасностью в NPM репах. Складывается впечатление, что какие-то спецслужбы учатся взламывать и заражать GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #45, #74, #93

37. Сообщение от Соль земли2 (?), 17-Сен-25, 12:49	+/–
Особенно бесит, что нельзя переместить node_modules. Костыли не предлагать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #44, #47

39. Сообщение от Аноним (1), 17-Сен-25, 13:20	+2 +/–
Ёжики кололись и плакали, но продолжали грызть NPM.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

40. Сообщение от Аноним (1), 17-Сен-25, 13:21	+/–
А на что сканировать, если не знаешь, что искать? Сейчас такие технологии у программистов, что обычный код работает, как троян.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #46

41. Сообщение от Данные в так называемом поле Name (?), 17-Сен-25, 13:23	+/–
Так и есть. Просто популярность JS почему-то сильно преуменьшина
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

42. Сообщение от Аноним (44), 17-Сен-25, 13:30	+/–
Нет. Дефекты архитектуры проекта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #50

43. Сообщение от Аноним (-), 17-Сен-25, 13:31	–3 +/–
> Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io? Шо будет, шо будет? Ничего не будет (с) opennet.ru/opennews/art.shtml?num=63875 Сведений об успешном захвате учётных данных в ходе атаки пока нет. Растовики просто оказались поумнее жаваскриптеров или разработчиков СИшных ХЗ либ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #58

44. Сообщение от Аноним (44), 17-Сен-25, 13:31	+2 +/–
В вам никто ничего и не предлагает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

45. Сообщение от Аноним (45), 17-Сен-25, 13:54	+/–
Не надо искать злой умысел в том что прекрасно объясняется глупостью и некомпетентностью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #68, #90

46. Сообщение от Аноним (24), 17-Сен-25, 14:14	+1 +/–
ну хотя бы поиск по подстроке "Shai-Hulud" и файлики "data.json"... а так, да, можно вообще ничего не делать - зачем, если программисты все равно так пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #114

47. Сообщение от Аноним (24), 17-Сен-25, 14:17	+/–
1) смотря что вы считаете костылями. 2) а что не костылями. 3) стандартный "ln -s" на уровне файловой системы Вас уже не устраивает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #52, #92

49. Сообщение от пох. (?), 17-Сен-25, 14:18	+4 +/–
злой хакер запутается в закорючках, устанет бегать от борова, заплачет и уйдет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #115

50. Сообщение от Аноним (24), 17-Сен-25, 14:18	+1 +/–
Стюардесса уже была такая, когда ее выкопали!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от Аноним (-), 17-Сен-25, 14:19	+/–
Если я правильно понял, то в качестве примера можно дать Elm, PureScript, Haskell (ghcjs), CoffeeScript.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #64

52. Сообщение от 12yoexpert (ok), 17-Сен-25, 14:19	+3 +/–
это же консоль, ты что, псих что ли? мы не знаем, что это такое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #69

53. Сообщение от Аноним (56), 17-Сен-25, 14:20	+1 +/–
Интересно, сколько времени нужно, чтобы ыксперды перестали обсуждать язык и репозитории, и вспомнили про то, что работа с репозиториями должна проводится из среды, не имеющей возможности выполнения кода, а выполнение кода должно быть в среде, не имеющей доступа к репозиторию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #60

55. Сообщение от 12yoexpert (ok), 17-Сен-25, 14:21	+/–
мы бы вспомнили, если бы это было правдой, но это не она
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

56. Сообщение от Аноним (56), 17-Сен-25, 14:22	+/–
>и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения Если есть токен доступа, то запушить можно автоматически.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

57. Сообщение от Аноним (56), 17-Сен-25, 14:24	+/–
А так же ocaml, type script, reason ml, rescript, flow.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

58. Сообщение от Аноним (58), 17-Сен-25, 14:25	+1 +/–
Воот, __сведений__ нет. Пока нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #87

60. Сообщение от Аноним (34), 17-Сен-25, 14:30	+/–
Вы готовы назватьтакую среду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #63, #80

62. Сообщение от Аноним (56), 17-Сен-25, 14:32	+/–
Критикуешь - предлагай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #126

63. Сообщение от Аноним (56), 17-Сен-25, 14:35	–3 +/–
Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #66, #75, #111, #113

64. Сообщение от SKZ (?), 17-Сен-25, 14:49	+/–
> Если я правильно понял, то в качестве примера можно дать Elm, PureScript, > Haskell (ghcjs), CoffeeScript. Речь о сабже - делает ли он это (сама смузи-формулировка "компиляция в жабаскрипт" доставляет, просто-напросто)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

65. Сообщение от Сосиска (?), 17-Сен-25, 14:51	+/–
С этими вирусами теперь и вправду придётся по старинке вручную поддерживать зависимости. А тесты запускать внутри виртуалки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67, #89, #95

66. Сообщение от Аноним (24), 17-Сен-25, 14:53	–1 +/–
про выпрыгивание из докера на уровень хоста - не, не слышали про данные уязвимости? (я понимаю, притянуто за уши, но в целом с вами согласен.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

67. Сообщение от Аноним (24), 17-Сен-25, 14:54	+/–
а мы и не прекращали. что у вас за среда разработки, в которой Вы манкируете правилами безопасности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

68. Сообщение от Аноним (24), 17-Сен-25, 14:55	+/–
«Умное лицо — это ещё не признак ума, господа. Все глупости на земле делаются именно с этим выражением лица. Улыбайтесь, господа. Улыбайтесь!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

69. Сообщение от Аноним (24), 17-Сен-25, 14:57	+/–
ну, прокатило бы, еслиб я не знал что в js тоже есть консоль. и с нее js и начинался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #73

70. Сообщение от Аноним (24), 17-Сен-25, 15:02	+1 +/–
Яндекс как то попробовал из курьеров-доставщиков еды, сделать армию "погромистов", и освоить профессии тестировщика, аналитика, дизайнера, разработчика ПО и др. Но у них "что то пошло не так"! В чем же они просчитались - до сих пор не поймут. Право рассчитывать на место в программе «Яндекса» смогут курьеры со стажем работы в «Еде», «Лавке» или «Доставке» не менее полугода. ... Следующим этапом будет тест на мотивацию https://www.cnews.ru/news/top/2022-04-19_yandeks_verbuet_kur...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

71. Сообщение от Аноним (24), 17-Сен-25, 15:05	+/–
комментатор поскупился на запятые, скорее всего он имел ввиду "в этом вашем жаваскрипт, ну хоть кто нибудь компилирует код в бинарники?" в оригинале комментария, да, выглядит косноязычно и вырвиглазно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #76

72. Сообщение от 1 (??), 17-Сен-25, 15:05	+3 +/–
Эволюция ! Уже добрались до червячков, скоро кони поскачут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

73. Сообщение от 1 (??), 17-Сен-25, 15:09	+/–
И в этой консоли можно выполнить ln -s и mount ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #78

74. Сообщение от 1 (??), 17-Сен-25, 15:12	+/–
Нифигасе ... Т.е. "Говорим NPM - подразумеваем Linux! Говорим Linux - подразумеваем NPM !" (почти дословная цитата)  ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

75. Сообщение от 1 (??), 17-Сен-25, 15:14	+/–
Ок. У тебя докер, в докере нода, в ноде майнер. "Ну что сынку помогли тебе твои лях^W докеры ?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #77, #81

76. Сообщение от SKZ (?), 17-Сен-25, 15:23    Скрыто ботом-модератором	+/–
Нет, смузи-кодеры именно, что "компилируют в жабаскрипт". Вот и вопрос - делает ли что-то подобное сабж?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

77. Сообщение от Аноним (24), 17-Сен-25, 15:24	+1 +/–
Например, если нужно, чтобы контейнер использовал не более 01% одного процессора, используется команда: docker run --cpus="0.01" тестовый контейнер Например, можно задать доли в два раза большие для одного контейнера по сравнению с другими: docker run --cpu-shares=2048 тестовый контейнер два как бы это основы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

78. Сообщение от Аноним (24), 17-Сен-25, 15:27	+/–
нет. по большей части это просто консоль вывода, чем ввода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

79. Сообщение от Аноним (114), 17-Сен-25, 15:28	+/–
А вот и "паровозик" в программной управляющей инфраструктуре. Контроль гуманоидов над процессом утрачен.
Ответить | Правка | Наверх | Cообщить модератору

80. Сообщение от Аноним (114), 17-Сен-25, 15:33	+/–
"активная среда 1" -> "данные" -> "активный репозиторий без прав изменения пакетов" сейчас "клиент репозитория" -> "репозиторий" - данные никто не видит и не может охранять их целостность и анализировать на безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

81. Сообщение от Аноним (56), 17-Сен-25, 15:48	+/–
Майнеру нужен доступ в сеть, а условный докер можно запустить без сети, а зависимости ставить через условный nix. Nix собирает зависимости в изолированном окружении, без доступа к сети. >"Ну что сынку помогли тебе твои лях^W докеры ?" Вам нужно больше продвинутых инструментов, а не меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

82. Сообщение от Аноним (114), 17-Сен-25, 15:48	+/–
одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #96

84. Сообщение от Аноним (114), 17-Сен-25, 16:00	–1 +/–
>Вредоносные релизы формируются для 20 наиболее популярных пакетов Вот так просто объявить релиз?! А где спасительная - в данном случае - бюрократия? Где этапы заморозки и т.п.?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #120

86. Сообщение от Аноним (114), 17-Сен-25, 16:03	+/–
Объекты и субъекты управления в этой среде стали "прозрачными" и поддаются автоматизации для хулиганов - как структура исполнительного модуля в памяти. Не удивительно, что появился  червь.
Ответить | Правка | Наверх | Cообщить модератору

87. Сообщение от Аноним (-), 17-Сен-25, 16:04	+/–
Ну вот когда будут, тогда  ̶и̶ ̶п̶о̶г̶о̶в̶о̶р̶и̶м̶ будем слушать "какое карго шeрeт0". Пока это просто крики из 🐓 угла. А то так можно сказать "в linux kernel пока не найден бекдор". Благо прецеденты были от АНБ, которые по 10 лет жили не тужили. Т.е он там может быть с очень ненулевой вероятностью)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #124, #141

88. Сообщение от Аноним (88), 17-Сен-25, 16:06	+/–
А вы думаете что js это одно, а остальное - другое? Нет, эта практика порочная, вне зависимости от выбранного языка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

89. Сообщение от Аноним (114), 17-Сен-25, 16:06	+/–
>придётся по старинке вручную поддерживать зависимости. и не сойти с ума.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

90. Сообщение от Аноним (114), 17-Сен-25, 16:10	+/–
То есть червь был всегда. Он просто спал энное количество лет и проснулся сам по себе? Когда хотят свести к глупости - это заметают следы и отвлекают внимание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

92. Сообщение от Соль земли2 (?), 17-Сен-25, 16:23	–1 +/–
Это костыль! В Python можно перенести куда угодно virtualenv, rust/go ставят тоже всё отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

93. Сообщение от Соль земли2 (?), 17-Сен-25, 16:25	+/–
Они не будут так рисковать быть раскрытыми.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

95. Сообщение от Соль земли2 (?), 17-Сен-25, 16:29	+/–
Сначала руками, потом напишете скрипты, а потом и свою пакетную систему. Раз никто этого ещё не сделал, значит всех всё устраивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

96. Сообщение от SKZ (?), 17-Сен-25, 16:29	+/–
> одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости. И все при деле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

97. Сообщение от Аноним (97), 17-Сен-25, 16:40	+/–
так это вам же и наставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

98. Сообщение от Гена (??), 17-Сен-25, 16:53	+/–
Судя по всему через пару дней ждем новостей об аналогичном червячке в крейте Раста. Посмотрим, как зумеры будут его ловить. Модератор перед затиранием поста, ознакомься пожалуйста, с новостью https://www.opennet.dev/opennews/art.shtml?num=63875
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

99. Сообщение от Аноним (99), 17-Сен-25, 16:53	+1 +/–
Ну если гос комп куплен во времена Бени и с тех пор не менялся - не мудрено. Тут на четвертых то пнях воют что страницы тяжелые, с таким то вообще жизни нет. Мож оно это - написать повыше чтоб компы перестали кирпичом чистить да подновили парк а то уже реакт у них на 3 секунды подвисает)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

103. Сообщение от Аноним (-), 17-Сен-25, 17:53	+/–
> Судя по всему, атака не ограничивается упомянутыми 187 пакетами Хипстики такие хипстики. Даже не знают - насколько именно их поимели. Просто топчик. Вроде 187 пакетов, но вроде продолжает создаваться. А, погодите, ноджыэс же вместе с гитхабом макйрософт взял под крыло. И сделав всем мозг своими 2FA и чем там еще ... обеспечил безопасность. И выглядела эта безопасность как гигантский червь. Окей, майкрософт!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104

104. Сообщение от Аноним (114), 17-Сен-25, 18:28	+1 +/–
Вспомнился Windows 90-х...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

108. Сообщение от Аноним (108), 17-Сен-25, 19:23	+2 +/–
Ждём трёхфакторную аутентификацию + отпечаток большого пальца левой ноги и снимок сетчатки ближайших родственников и/или членов семьи...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131, #139

109. Сообщение от Джон Титор (ok), 17-Сен-25, 20:15	+/–
О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию, это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно типичные операции пушинга релиза пакета с одним и тем же файлом в разные пакеты должно у эвристического анализатора вызвать подозрения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #140

111. Сообщение от Джон Титор (ok), 17-Сен-25, 20:23	+/–
>> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd. Хрень не соответствующая предыдущему вашему комментарию. До того ж докер для коммерческого применения платная (ну может не в России, но за рубежом она платная для коммерции).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #133

112. Сообщение от Джон Титор (ok), 17-Сен-25, 20:27	+/–
Идея вируса отличная, вопрос только - зачем? Типа сам автор опубликовал данные о системе. Интересно!
Ответить | Правка | Наверх | Cообщить модератору

113. Сообщение от Аноним (-), 17-Сен-25, 20:39	+/–
> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на > хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, А червякам большая разнциа - из контейнера себя рассылать или с хоста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #122

114. Сообщение от Аноним (114), 17-Сен-25, 21:09	+/–
> "Shai-Hulud" и файлики "data.json" А кто сказал, что это не отвлекающий след?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

115. Сообщение от Аноним (114), 17-Сен-25, 21:11	+/–
Да ничего сложного в borrow нет. Просто надо свыкнуться, у у данных есть Один владелец, а не каждый участок кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

116. Сообщение от Аноним (116), 17-Сен-25, 21:12	+/–
> Не может быть! Никогда такого не было! Совсем классику забыли. Правильно: "Вспомнити npm leftpad!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

117. Сообщение от Аноним (114), 17-Сен-25, 21:15	+/–
Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #118

118. Сообщение от Карлос Сношайтилис (ok), 17-Сен-25, 21:35	+/–
> Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции" Целый день бился головой об стену. Проблема не в отсутствии мозгов, а в стене.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #125

119. Сообщение от Аноним (119), 17-Сен-25, 21:56	+/–
Без разницы. Сам crowdstrike такая же малварь как и это https://xakep.ru/2025/09/15/huntress-rare-look/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

120. Сообщение от Роман (??), 17-Сен-25, 22:03	+/–
какая еще бюрократия и заморозка на bazaar - там же идея всего этого NPM хранилища убрать фрикции для разработчиков, чтобы перестали ходить к админам в свитерах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

121. Сообщение от Аноним (121), 17-Сен-25, 22:03	+2 +/–
еще больше "Какие молодцы" выйдет, елси на этом коде научится очередной (название условное) чат гипити и начнёт в новые проекты вставлять подобный код.. ну да, в похожей ситуации такой код был. значит и вам нужен. вот тогда да, выйдет замечательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

122. Сообщение от Аноним (121), 17-Сен-25, 22:18	+/–
В предложенной схеме, не всё равно 1. там не сети 2. ключей там тоже нет, соотв компрометировать нечего,
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

123. Сообщение от Аноним (-), 18-Сен-25, 00:07	+/–
В С тоже есть пакетные менеджеры и не один, но они просто не популярны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

124. Сообщение от Аноним (-), 18-Сен-25, 00:21	+/–
Я как-то на заводе работал очень давно. Так вот случались случаи что присылали новую электронику из-за рубежа для разработки. Так вот выглядит как рабочее, только вот не работает как необходимо. Допустим программатор - вроде работает, но работает неправильно. Программу можно хоть 1000 раз проверить, но программирует контроллер неправильно. В чем дело? Недостаточно знаний о контроллере? Неправильная программа? И некому помочь из специалистов - не знают в чем причина. Т.е. контроллеры определенной фирмы применять нельзя, не работают. Перешли на другие - работают, но это все время тянет. И только через годы приходит на ум то что с программатором то может быть что-то не так. Разобрали, а там один контакт недопаян. Вот случайность когда такие ситуации бывают? Так-что прецеденты с АНБ в этом случае могут быть весьма широкими и один из наиболее очевидных - только определенным клиентам может прийти что-то другое. Так вообще никто ничего не заметит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

125. Сообщение от Аноним (114), 18-Сен-25, 00:46	+/–
Точнее, мне кажется: В отсутствие подушечке на голове
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

126. Сообщение от Аноним (114), 18-Сен-25, 00:47	+1 +/–
Предлагаю покритиковать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

128. Сообщение от Аноним (-), 18-Сен-25, 01:18	+/–
> Судя по всему Судя по чему? Голосам в голове? > ждем новостей об аналогичном червячке в крейте Раста. Почти в каждой новости кто-то "ждёт". За всё это время могли бы собраться и сами написать червя. Ах, да, не получается осилить синтаксис, да и с боровом тягаться слишком сложно. > Посмотрим, как зумеры будут его ловить. А что там смотреть? В прошлый раз был тайпсквотинг с добавлением вредоносного кода. Нашли. Удалили. https://www.opennet.dev/opennews/art.shtml?num=57169
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

129. Сообщение от Аноним (129), 18-Сен-25, 01:38	+1 +/–
Компьютерный червь — это самовоспроизводящаяся вредоносная программа, которая распространяется по сетям, используя уязвимости, и не требует для этого действий пользователя или прикрепления к другим файлам. В отличие от вирусов, которые для активации и распространения могут нуждаться в запуске пользователем зараженного файла, черви действуют автономно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

131. Сообщение от 0xdeadbee (?), 18-Сен-25, 06:21	–2 +/–
достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key. возможно, приватные ключи придется сдать на проверку подбором пассфразы по словарю. если подобралось за разумный срок - посылать на переделку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #136

133. Сообщение от Аноним (56), 18-Сен-25, 10:44	+/–
>До того ж докер для коммерческого применения платная Берите не докер. Для изоляции доступно куча утилит, хоть systemd, хоть incus, хоть lxc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

134. Сообщение от OpenEcho (?), 18-Сен-25, 11:16	+/–
> А потому что в JS принято обновлять все npm в слепую. А у других что, прям так, каждый стороний пакет - пересмотр исходников?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #137

135. Сообщение от OpenEcho (?), 18-Сен-25, 11:19	+/–
>  в Go вообще с гитхаба но через гугло прокси, как раз чтоб предотвращать, подробнее: https://go.dev/blog/supply-chain
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

136. Сообщение от OpenEcho (?), 18-Сен-25, 11:41	+/–
> достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key. А что мешает хулигану сделать тоже самое и подписать своим гпг? Он с таким же успехом может загрузить свой публичный ключ указав там ваше имя. Это все равно что самому себе паспорт выдавать, веры то только такому паспорту - ноль
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

137. Сообщение от Аноним (56), 18-Сен-25, 12:24	–1 +/–
В c/c++ культуры переиспользования кода почти нет, и очень часто даже для самых обычных вещей пишется свой кривой-косой велосипед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

138. Сообщение от Аноним (-), 18-Сен-25, 12:58    Скрыто ботом-модератором	+/–
Pypi поддерживает подписи PGP пакетов, что решает проблему с под мной пакетов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

139. Сообщение от Аноним (116), 18-Сен-25, 13:04	+/–
Я когда-то пробовал зарегаться на мордокниге - быстро заблочили и потребовали скан паспорта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

140. Сообщение от Аноним (-), 18-Сен-25, 14:32	–1 +/–
> О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию, > это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно > типичные операции пушинга релиза пакета с одним и тем же файлом > в разные пакеты должно у эвристического анализатора вызвать подозрения. Особенно эффективно этот ботнет-антивирус ... сломал куче корпораций компьютерные системы, в общем идея заразиться самым крутым вирусом чтобы вирусы пожиже обломались - ну такая себе, спорненькая :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

141. Сообщение от Аноним (141), 18-Сен-25, 18:10	+/–
У того бекдора от АНБ чуть название изменили только, убрали "NSA". А так он есть и по сей день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

142. Сообщение от Anonymus (?), 18-Сен-25, 21:30	+/–
>После активации червь осуществляет поиск учётных данных в текущем окружении >В случае обнаружения токена подключения к каталогу NPM >Помимо токена доступа к NPM червь сохраняет ключи доступа к <...> Пароли небезопасны, говорили они... Пароль перехватят, ключи - молча и незаметно украдут, и в чём разница?
Ответить | Правка | Наверх | Cообщить модератору

143. Сообщение от Аноним (-), 18-Сен-25, 22:56	+/–
А чё они не пристрелили вендовс, когда тот весь в червях был? Мир так не работает, увы. Люди будут героически преодолевать проблемы. А потом ещё и ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема