forum.opennet.ru - "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов" (49)

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"	+/–
Сообщение от opennews (??), 25-Ноя-25, 14:16
Зафиксирована вторая атака на пакеты в репозитории NPM, проводимая с использованием модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64322
Ответить \| Правка \| Cообщить модератору

Оглавление

Никогда не было, и вот опять 175 _ 12484 _ 175 , Аноним (2), 14:18 , 25-Ноя-25, (2) +16

Это безопасная компрометация, ошибок памяти нету , Аноним (48), 16:37 , 25-Ноя-25, (48) +5

Это вполне предсказуемо , Аноним (5), 14:27 , 25-Ноя-25, (5)
Если не удается пройти аутентификацию или установить устойчивое присутствие, вр, Лиечка (?), 14:28 , 25-Ноя-25, (7)

Это либо вредоносы научились злиться, либо создатель злится удалённо , Скушный аноним (?), 17:39 , 25-Ноя-25, (58)

ну брось, создатель, он нетакой Он просто беззлобно надеется что после этого в с, нах. (?), 18:19 , 25-Ноя-25, (63) +1
Скорее простейшая защита от изучения в песочницах и honeypot-ов, Фняк (?), 18:24 , 25-Ноя-25, (66)

npm, cargo, PyPI - это одни большие уязвимости У Go хотя бы подход децентрализо, Аноним (9), 14:36 , 25-Ноя-25, (9) –5

Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого н, Rev (ok), 14:49 , 25-Ноя-25, (14) –3

Но это не точно , Кошкажена (?), 15:10 , 25-Ноя-25, (23) +6
Не выше 20 Иначе, им Раст был бы незачем , Аноним (37), 15:44 , 25-Ноя-25, (37)

Я знаю много умных программистов на Rust Там же мощный ещё функциональный аспек, Аноним (54), 17:05 , 25-Ноя-25, (54)

Так они же в комитете по стандартизации C Или уже нет , Аноним (37), 20:33 , 25-Ноя-25, (83)
- -- -- -- -- Я знаю много умных программистов на Печально, а я не знаю умны, Васян (?), 23:03 , 25-Ноя-25, (87)

Притом, что даже стандартизированного теста для его определения нет А последние, Смузихлеб забывший пароль (?), 17:08 , 25-Ноя-25, (55)

Да нет, он может снижаться, если не получает должного обучения в процессе Напри, Аноним (48), 21:29 , 25-Ноя-25, (85)

Ага, и мы видим, что даже с боров-чекером они всё равно писать код с уязвимостям, Аноним (81), 20:02 , 25-Ноя-25, (81)

Угу, это когда исходники тянутся с гитхаба Это ДЕцентрализованный называется , Кошкажена (?), 15:11 , 25-Ноя-25, (25) +4

Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого д, Аноним (9), 15:29 , 25-Ноя-25, (30) –1

Cargo тоже может тянуть с гитхаба или другой репы , Rev (ok), 15:40 , 25-Ноя-25, (34) +6

Скрыто модератором, Аноним (-), 18:38 , 25-Ноя-25, (73)

будь так добр, предоставь ссылку на документацию, где подтверждается данное утве, анон (-), 15:41 , 25-Ноя-25, (36)

И проходят через GOPROXY где они кешируются Там эти исходники будут доступны ес, Аноним (52), 16:54 , 25-Ноя-25, (52)

Скрыто модератором, Аноним (32), 15:36 , 25-Ноя-25, (32)

Еще один довод юзать deb , Аноним (10), 14:38 , 25-Ноя-25, (10) –2

Если ты не знал, все исходники js-проги вендорятся в deb-пакет И тоже самое для, Анонимный аноним (?), 14:57 , 25-Ноя-25, (17)

У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога, Аноним (9), 14:59 , 25-Ноя-25, (18) –1

Ну да, жс во всём виноват, Смузихлеб забывший пароль (?), 17:10 , 25-Ноя-25, (56) +1

В Debian как раз каждой зависимости отдельный пакет положен Как пример https , Аноним (57), 17:34 , 25-Ноя-25, (57) +1

На самом деле есть npm подставь тут любой пакетник to nix Плюсом помимо пакет, Кошкажена (?), 15:10 , 25-Ноя-25, (22) +1

Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт , Аноним (57), 17:43 , 25-Ноя-25, (59)

Все дружно переходим на Maven , X512 (?), 14:42 , 25-Ноя-25, (12)

Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота , Фонтимос (?), 15:09 , 25-Ноя-25, (21)

Так, и как с этим бороться https opennet ru 63930-npm, Аноним (15), 14:51 , 25-Ноя-25, (15)

Перестать пользоваться поделками зачеркнуть недоделками из NPM , Аноним (20), 15:08 , 25-Ноя-25, (20) +4
Возглавь , нах. (?), 18:22 , 25-Ноя-25, (64)

npm, pip, cargo и есть сами черви Сами докатились, что простая задача вытягивае, Кошкажена (?), 15:07 , 25-Ноя-25, (19) +5

Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепоч, User (??), 15:46 , 25-Ноя-25, (38) +1

Всего лишь надо на дискетке переключатель сдвинуть, кто помнит , Аноним (43), 15:58 , 25-Ноя-25, (43) +1

Молодежь заклеить надо на дискете дырочку , IdeaFix (ok), 16:46 , 25-Ноя-25, (49) +5

Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея , Аноним (69), 18:33 , 25-Ноя-25, (69)

в смысле Сто раз так делали Не тратить же пол-дня на новую заявку ради одной п, нах. (?), 19:02 , 25-Ноя-25, (74)
На дискете же при чем тут перфокарты Или Вы не знали что на дискетах надо за, IdeaFix (ok), 19:43 , 25-Ноя-25, (78)

Да Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и, Анонис (?), 16:05 , 25-Ноя-25, (44) +1
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого черв, 1 (??), 16:20 , 25-Ноя-25, (46)
Сэкономили на сканере уязвимостей в CI CD Скупой платит дважды , Соль земли2 (?), 17:04 , 25-Ноя-25, (53) –3
У нас безопасники отключили весь npm целиком от корпоративной сети, пока пыль не, Аноним (76), 19:22 , 25-Ноя-25, (76)

Плохая безопасность, все публичные репы должны быть отрублены от корп сети всегд, Аноним (77), 19:42 , 25-Ноя-25, (77) +4

В проде так и происходит, перед подключением приложения к публичному интернету к, Аноним (76), 20:10 , 25-Ноя-25, (82)

Сообщения [Сортировка по времени | RSS]

2. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +16 +/–

Сообщение от Аноним (2), 25-Ноя-25, 14:18

Никогда не было, и вот опять.¯\_(ツ)_/¯

Ответить | Правка | Наверх | Cообщить модератору

48. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +5 +/–

Сообщение от Аноним (48), 25-Ноя-25, 16:37

Это безопасная компрометация, ошибок памяти нету.

Ответить | Правка | Наверх | Cообщить модератору

5. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (5), 25-Ноя-25, 14:27

Это вполне предсказуемо.

Ответить | Правка | Наверх | Cообщить модератору

7. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Лиечка (?), 25-Ноя-25, 14:28

"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."

Ответить | Правка | Наверх | Cообщить модератору

58. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Скушный аноним (?), 25-Ноя-25, 17:39

Это либо вредоносы научились злиться, либо создатель злится удалённо.

Ответить | Правка | Наверх | Cообщить модератору

63. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от нах. (?), 25-Ноя-25, 18:19

> Это либо вредоносы научились злиться, либо создатель злится удалённо.
ну брось, создатель, он нетакой.
Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться.
В принципе, совершенно правильно надеется.

Ответить | Правка | Наверх | Cообщить модератору

66. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Фняк (?), 25-Ноя-25, 18:24

Скорее простейшая защита от изучения в песочницах и honeypot-ов

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

9. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –5 +/–

Сообщение от Аноним (9), 25-Ноя-25, 14:36

npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.

Ответить | Правка | Наверх | Cообщить модератору

14. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –3 +/–

Сообщение от Rev (ok), 25-Ноя-25, 14:49

Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.

Ответить | Правка | Наверх | Cообщить модератору

23. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +6 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:10

Но это не точно.

Ответить | Правка | Наверх | Cообщить модератору

37. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (37), 25-Ноя-25, 15:44

Не выше 20. Иначе, им Раст был бы незачем.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

54. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (54), 25-Ноя-25, 17:05

Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.

Ответить | Правка | Наверх | Cообщить модератору

83. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (37), 25-Ноя-25, 20:33

Так они же в комитете по стандартизации C++. Или уже нет?

Ответить | Правка | Наверх | Cообщить модератору

87. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Васян (?), 25-Ноя-25, 23:03

- -- -- -- -- Я знаю много умных программистов на ....
Печально, а я не знаю умных программистов, особенно тех кто распрягает окружающих про какой-то ЫЫ и делают вид буд-то так и надо. Честные при честные ребята, ну само совершенство просто...

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

55. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:08

Притом, что даже стандартизированного теста для его определения нет )
А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть
А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

85. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (48), 25-Ноя-25, 21:29

> "функционал" мозга какой получен от рождения - такой и есть
Да нет, он может снижаться, если не получает должного обучения в процессе. Например, если чел занимался программированием на си, а потом перешёл на раст.

Ответить | Правка | Наверх | Cообщить модератору

81. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (81), 25-Ноя-25, 20:02

Ага, и мы видим, что даже с боров-чекером они всё равно писать код с уязвимостями. Страшно подумать, какой бы код они писали на C/C++.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +4 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:11

> У Go хотя бы подход децентрализованный
Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

30. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –1 +/–

Сообщение от Аноним (9), 25-Ноя-25, 15:29

>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?
Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

Ответить | Правка | Наверх | Cообщить модератору

34. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +6 +/–

Сообщение от Rev (ok), 25-Ноя-25, 15:40

Cargo тоже может тянуть с гитхаба или другой репы.

Ответить | Правка | Наверх | Cообщить модератору

73. Скрыто модератором +/–

Сообщение от Аноним (-), 25-Ноя-25, 18:38

Но Войны-Супротив-Раста об этом не знают.
Это ж надо документацию почитать!

Ответить | Правка | Наверх | Cообщить модератору

36. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от анон (-), 25-Ноя-25, 15:41

> То ли дело cargo, тянет только из crates.io. Или тот же PyPI.
будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

52. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (52), 25-Ноя-25, 16:54

И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится.
И если не устраивает сервер по умолчанию то можно и свой поднять.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

32. Скрыто модератором +/–

Сообщение от Аноним (32), 25-Ноя-25, 15:36

Недооцененный комментарий

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –2 +/–

Сообщение от Аноним (10), 25-Ноя-25, 14:38

Еще один довод юзать *.deb.

Ответить | Правка | Наверх | Cообщить модератору

17. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57

Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.

Ответить | Правка | Наверх | Cообщить модератору

18. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –1 +/–

Сообщение от Аноним (9), 25-Ноя-25, 14:59

У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.

Ответить | Правка | Наверх | Cообщить модератору

56. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:10

> Для проведения атаки злоумышленники путём фишинга...
Ну да, жс во всём виноват

Ответить | Правка | Наверх | Cообщить модератору

57. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Аноним (57), 25-Ноя-25, 17:34

В Debian как раз каждой зависимости отдельный пакет положен. Как пример:
https://packages.debian.org/trixie/node-axios
То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

22. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:10

На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

59. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (57), 25-Ноя-25, 17:43

Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт?

Ответить | Правка | Наверх | Cообщить модератору

12. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от X512 (?), 25-Ноя-25, 14:42

Все дружно переходим на Maven.

Ответить | Правка | Наверх | Cообщить модератору

21. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Фонтимос (?), 25-Ноя-25, 15:09

Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.

Ответить | Правка | Наверх | Cообщить модератору

15. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (15), 25-Ноя-25, 14:51

Так, и как с этим бороться ?
https://opennet.ru/63930-npm

Ответить | Правка | Наверх | Cообщить модератору

20. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +4 +/–

Сообщение от Аноним (20), 25-Ноя-25, 15:08

Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?

Ответить | Правка | Наверх | Cообщить модератору

64. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от нах. (?), 25-Ноя-25, 18:22

> Так, и как с этим бороться ?
Возглавь!

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

19. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +5 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:07

npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.

Ответить | Правка | Наверх | Cообщить модератору

38. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от User (??), 25-Ноя-25, 15:46

> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача
> вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор.
> Обновления только по делу.
Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если вот и кода нет - то прям совсем хорошо!

Ответить | Правка | Наверх | Cообщить модератору

43. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Аноним (43), 25-Ноя-25, 15:58

Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.

Ответить | Правка | Наверх | Cообщить модератору

49. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +5 +/–

Сообщение от IdeaFix (ok), 25-Ноя-25, 16:46

Молодежь.... заклеить надо на дискете дырочку.

Ответить | Правка | Наверх | Cообщить модератору

69. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (69), 25-Ноя-25, 18:33

Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея...

Ответить | Правка | Наверх | Cообщить модератору

74. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от нах. (?), 25-Ноя-25, 19:02

в смысле? Сто раз так делали! Не тратить же пол-дня на новую заявку ради одной перфокарты!

Ответить | Правка | Наверх | Cообщить модератору

78. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от IdeaFix (ok), 25-Ноя-25, 19:43

На дискете же... при чем тут перфокарты? Или Вы не знали что на дискетах надо заклеивать дырочку?:)

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

44. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Анонис (?), 25-Ноя-25, 16:05

Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!

Ответить | Правка | Наверх | Cообщить модератору

46. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от 1 (??), 25-Ноя-25, 16:20

Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.

Ответить | Правка | Наверх | Cообщить модератору

53. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –3 +/–

Сообщение от Соль земли2 (?), 25-Ноя-25, 17:04

Сэкономили на сканере уязвимостей в CI/CD. Скупой платит дважды.

Ответить | Правка | Наверх | Cообщить модератору

76. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (76), 25-Ноя-25, 19:22

У нас безопасники отключили весь npm целиком от корпоративной сети, пока пыль не уляжется. И правильно сделали. Во-первых, по случаю дня индейки всё равно мораторий, во-вторых, по той же самой причине разарабы поразъезжались по домам и девелопить просто некому, в-третьих, всё нужное для ребилда прода, если уж припрёт, всё равно лежит в локальном репозиторий и курируется назначенными.

Ответить | Правка | Наверх | Cообщить модератору

77. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +4 +/–

Сообщение от Аноним (77), 25-Ноя-25, 19:42

Плохая безопасность, все публичные репы должны быть отрублены от корп сети всегда. Должны стоять свои репы куда только проверенные пакты добавляют. Язык и источник не важен. Важен тот факт что весь пакет должен проверяется прежде чем быть добавленным в корп репозиторий

Ответить | Правка | Наверх | Cообщить модератору

82. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (76), 25-Ноя-25, 20:10

В проде так и происходит, перед подключением приложения к публичному интернету команда разработчиков проходит формальную вычитку, на которые приглашены все желающие fte. Процесс включает проход по всему дереву зависимостей на предмет наличия лефтпадов и подобной дичи. Но в процессе разработки вообще нет никакой разумной причины ограничивать девелоперов в инстументах. Прод от офисной сети отделён фаерволлом, туда можно попасть либо через интернет как все, либо через специальные джампбоксы с доступом к бэкэнду по отдельному запросу и с ограниченным сроком действия. Проверять всё и всегда — бессмысленная трата времени. С компа разраба можно украсть код, но невозможно украсть данные, а без данных тот код бесполезен чуть менее чем полностью.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+16 +/–
Сообщение от Аноним (2), 25-Ноя-25, 14:18
Никогда не было, и вот опять.¯\_(ツ)_/¯
Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+5 +/–
	Сообщение от Аноним (48), 25-Ноя-25, 16:37
	Это безопасная компрометация, ошибок памяти нету.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Аноним (5), 25-Ноя-25, 14:27
Это вполне предсказуемо.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Лиечка (?), 25-Ноя-25, 14:28
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Скушный аноним (?), 25-Ноя-25, 17:39
	Это либо вредоносы научились злиться, либо создатель злится удалённо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от нах. (?), 25-Ноя-25, 18:19
	> Это либо вредоносы научились злиться, либо создатель злится удалённо. ну брось, создатель, он нетакой. Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться. В принципе, совершенно правильно надеется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Фняк (?), 25-Ноя-25, 18:24
	Скорее простейшая защита от изучения в песочницах и honeypot-ов
	Ответить \| Правка \| К родителю #58 \| Наверх \| Cообщить модератору

9. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–5 +/–
Сообщение от Аноним (9), 25-Ноя-25, 14:36
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–3 +/–
	Сообщение от Rev (ok), 25-Ноя-25, 14:49
	Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+6 +/–
	Сообщение от Кошкажена (?), 25-Ноя-25, 15:10
	Но это не точно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (37), 25-Ноя-25, 15:44
	Не выше 20. Иначе, им Раст был бы незачем.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	54. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (54), 25-Ноя-25, 17:05
	Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (37), 25-Ноя-25, 20:33
	Так они же в комитете по стандартизации C++. Или уже нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Васян (?), 25-Ноя-25, 23:03
	- -- -- -- -- Я знаю много умных программистов на .... Печально, а я не знаю умных программистов, особенно тех кто распрягает окружающих про какой-то ЫЫ и делают вид буд-то так и надо. Честные при честные ребята, ну само совершенство просто...
	Ответить \| Правка \| К родителю #54 \| Наверх \| Cообщить модератору


	55. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:08
	Притом, что даже стандартизированного теста для его определения нет ) А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	85. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (48), 25-Ноя-25, 21:29
	> "функционал" мозга какой получен от рождения - такой и есть Да нет, он может снижаться, если не получает должного обучения в процессе. Например, если чел занимался программированием на си, а потом перешёл на раст.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (81), 25-Ноя-25, 20:02
	Ага, и мы видим, что даже с боров-чекером они всё равно писать код с уязвимостями. Страшно подумать, какой бы код они писали на C/C++.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	25. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+4 +/–
	Сообщение от Кошкажена (?), 25-Ноя-25, 15:11
	> У Go хотя бы подход децентрализованный Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	30. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–1 +/–
	Сообщение от Аноним (9), 25-Ноя-25, 15:29
	>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется? Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+6 +/–
	Сообщение от Rev (ok), 25-Ноя-25, 15:40
	Cargo тоже может тянуть с гитхаба или другой репы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. Скрыто модератором	+/–
	Сообщение от Аноним (-), 25-Ноя-25, 18:38
	Но Войны-Супротив-Раста об этом не знают. Это ж надо документацию почитать!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от анон (-), 25-Ноя-25, 15:41
	> То ли дело cargo, тянет только из crates.io. Или тот же PyPI. будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	52. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (52), 25-Ноя-25, 16:54
	И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится. И если не устраивает сервер по умолчанию то можно и свой поднять.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	32. Скрыто модератором	+/–
	Сообщение от Аноним (32), 25-Ноя-25, 15:36
	Недооцененный комментарий
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

10. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–2 +/–
Сообщение от Аноним (10), 25-Ноя-25, 14:38
Еще один довод юзать *.deb.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57
	Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–1 +/–
	Сообщение от Аноним (9), 25-Ноя-25, 14:59
	У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:10
	> Для проведения атаки злоумышленники путём фишинга... Ну да, жс во всём виноват
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от Аноним (57), 25-Ноя-25, 17:34
	В Debian как раз каждой зависимости отдельный пакет положен. Как пример: https://packages.debian.org/trixie/node-axios То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	22. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от Кошкажена (?), 25-Ноя-25, 15:10
	На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору