forum.opennet.ru - "Атакующим удалось добавить незамеченный вредоносный код в репозиторий Plone" (19)

"Атакующим удалось добавить незамеченный вредоносный код в репозиторий Plone"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атакующим удалось добавить незамеченный вредоносный код в репозиторий Plone"	+/–
Сообщение от opennews (??), 01-Фев-26, 10:57
Разработчики свободной системы управления контентом Plone, написанной на Python и JavaScript/NodeJS, объявили об инциденте, в результате которого в git-репозиторий проекта на GitHub был добавлен вредоносный код. Изначально в репозитории были выявлены три появившихся 7 января изменения (1, 2, 3), добавляющие вредоносный код в JavaScript-файлы проекта (1, 2, 3). Разбор инцидента показал, что интеграция вредоносного кода была произведена в результате компрометации учётной записи одного из разработчиков, токен доступа которого был захвачен злоумышленниками после запуска вредоносного ПО в его системе... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64718
Ответить \| Правка \| Cообщить модератору

Оглавление

Force push Так а ничего, что у всех потом репозиторий перестанет пулиться , Аноним (1), 10:57 , 01-Фев-26, (1) +4

там поди только 1 разраб, ананас (?), 11:05 , 01-Фев-26, (2)

Да, этот как-то топорно было Джи Танг или как там того китайца корейца японца з, Аноним (1), 11:26 , 01-Фев-26, (10)

vibe pullingСпросят у чат бота почему не пулится, получат и применят ответ И вс, Аноним (20), 12:27 , 01-Фев-26, (20)

Си дыряв 8212 пишу на NodeJS и Rust , 8212 говорили они , Аноним (3), 11:06 , 01-Фев-26, (3) –3

Вы адекватны При угоне доступа без разницы, на каком языке написан код, хоть на, Grigoriy Wiser (ok), 11:18 , 01-Фев-26, (6) +2

Первый раз слышу о таком проекте, ну это же не хром или ядро, очевидно что проек, Аноним (4), 11:08 , 01-Фев-26, (4) –1

Первая CMS на Python, ей лет тридцать , Аноним (11), 11:34 , 01-Фев-26, (11)
То что вы о проекте не слышали, не говорит о том, что он не популярен В своё вр, Аноним (15), 12:03 , 01-Фев-26, (15)

А еще интересно, кто стоит за этим, и похожими взломами реп питона и жс , Аноним (4), 11:09 , 01-Фев-26, (5) +1

АНБ и ко зачёты сдают, Аноним (8), 11:20 , 01-Фев-26, (8) –1

Скрыто модератором, Васян АНБенович (?), 12:05 , 01-Фев-26, (16)

А вообще, нужно уже придумывать что то новое, для избежания подобных атак, хз, н, Аноним (4), 11:20 , 01-Фев-26, (7)

Да да а патчи по емайл принимать одному человеку , Аноним (8), 11:21 , 01-Фев-26, (9)

-- - - -- Да да а патчи по емайл принимать одному человеку Не, па тилифону и , Васян (?), 12:11 , 01-Фев-26, (17)

Это первое, что должны делать сопровождающие новых реп Странно, что гитхаб сам , Аноним (13), 11:46 , 01-Фев-26, (13)

И что предлагаешь делать всяким винампам Их же засудят на много денег , Аноним (14), 11:56 , 01-Фев-26, (14)

В незамеченный репозиторий незамеченной поделки добавили незамеченный вредоносны, нах. (?), 12:15 , 01-Фев-26, (18)

А вот какой профит в таком добавлении вредоносов , Аноним (19), 12:25 , 01-Фев-26, (19)

Сообщения [Сортировка по времени | RSS]

1. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +4 +/–

Сообщение от Аноним (1), 01-Фев-26, 10:57

Force push? Так а ничего, что у всех потом репозиторий перестанет пулиться?

Ответить | Правка | Наверх | Cообщить модератору

2. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от ананас (?), 01-Фев-26, 11:05

там поди только 1 разраб

Ответить | Правка | Наверх | Cообщить модератору

10. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (1), 01-Фев-26, 11:26

Да, этот как-то топорно было. Джи Танг или как там того китайца/корейца/японца звали, что в ssh пушил, показал класс. Там по всему репозиторию растер и чудом заметили.

Ответить | Правка | Наверх | Cообщить модератору

20. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (20), 01-Фев-26, 12:27

vibe pulling
Спросят у чат бота почему не пулится, получат и применят ответ. И всё работает как надо.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Атакующим удалось добавить незамеченный вредоносный код в ре..." –3 +/–

Сообщение от Аноним (3), 01-Фев-26, 11:06

"Си дыряв — пишу на NodeJS и Rust", — говорили они.

Ответить | Правка | Наверх | Cообщить модератору

6. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +2 +/–

Сообщение от Grigoriy Wiser (ok), 01-Фев-26, 11:18

Вы адекватны? При угоне доступа без разницы, на каком языке написан код, хоть на ассемблере, хоть "0010 0101 1110".

Ответить | Правка | Наверх | Cообщить модератору

4. "Атакующим удалось добавить незамеченный вредоносный код в ре..." –1 +/–

Сообщение от Аноним (4), 01-Фев-26, 11:08

Первый раз слышу о таком проекте, ну это же не хром или ядро, очевидно что проект маленький, ну какая там команда разработчиков, человек 10? Понимаю если 100, тогда ещё можно не уследить, но тут же вполне реально вчитываться в присылаемые изменения, даже от коллег.
Ок, примем что ребята просто на доверии, расслабились и не учли что возможность компрометации никогда не равна нулю.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (11), 01-Фев-26, 11:34

Первая CMS на Python, ей лет тридцать

Ответить | Правка | Наверх | Cообщить модератору

15. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (15), 01-Фев-26, 12:03

То что вы о проекте не слышали, не говорит о том, что он не популярен. В своё время Plone была одной из самых популярных CMS, но потом её вытеснил WordPress.
https://ru.wikipedia.org/wiki/Plone

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +1 +/–

Сообщение от Аноним (4), 01-Фев-26, 11:09

А еще интересно, кто стоит за этим, и похожими взломами реп питона и жс.

Ответить | Правка | Наверх | Cообщить модератору

8. "Атакующим удалось добавить незамеченный вредоносный код в ре..." –1 +/–

Сообщение от Аноним (8), 01-Фев-26, 11:20

АНБ и ко зачёты сдают

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором +/–

Сообщение от Васян АНБенович (?), 01-Фев-26, 12:05

-- -- - - АНБ и ко зачёты сдают
Ну понятно что там всё онлиинглишьамерикэн и всё такое, ведь это всё оттуда растёт ногами и задом... Но кроме них чтоле других пАрядЫшных людей нет на зимле?

Ответить | Правка | Наверх | Cообщить модератору

7. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (4), 01-Фев-26, 11:20

А вообще, нужно уже придумывать что то новое, для избежания подобных атак, хз, не принимать например изменения от непонятно кого, например, или в чате разработчиков ввести правило, что перед тем как кто-то вносит изменения, обязательно всех оповестить об этом, ну и всем работать не через токены, а просто предлагать изменения, и далее в чате, только уже после, решать, вносить их или нет. Хакерам для такого придется еще и чат ломать.

Ответить | Правка | Наверх | Cообщить модератору

9. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (8), 01-Фев-26, 11:21

Да да а патчи по емайл принимать одному человеку...

Ответить | Правка | Наверх | Cообщить модератору

17. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Васян (?), 01-Фев-26, 12:11

-- - - -- Да да а патчи по емайл принимать одному человеку...
Не, па тилифону и с помащью голасавого памощника... всё должно быть ридонли, полная изаляцыя синей изолентой и в пластиковом контейнере с фольгой запаковано потом. Любимая тема всяких разрабов всяких фич будущего человечества.

Ответить | Правка | Наверх | Cообщить модератору

13. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (13), 01-Фев-26, 11:46

> Для предотвращения подобной подмены веток в будущем разработчики Plone включили в GitHub правила, блокирующие операции "force push" для основных веток и тегов.
Это первое, что должны делать сопровождающие новых реп. Странно, что гитхаб сам не рекомендует отключить force в мастер ветки.

Ответить | Правка | Наверх | Cообщить модератору

14. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (14), 01-Фев-26, 11:56

И что предлагаешь делать всяким винампам? Их же засудят на много денег.

Ответить | Правка | Наверх | Cообщить модератору

18. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от нах. (?), 01-Фев-26, 12:15

В незамеченный репозиторий незамеченной поделки добавили незамеченный вредоносный код.
новости которые мы заслужили

Ответить | Правка | Наверх | Cообщить модератору

19. "Атакующим удалось добавить незамеченный вредоносный код в ре..." +/–

Сообщение от Аноним (19), 01-Фев-26, 12:25

А вот какой профит в таком добавлении вредоносов?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+4 +/–
Сообщение от Аноним (1), 01-Фев-26, 10:57
Force push? Так а ничего, что у всех потом репозиторий перестанет пулиться?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от ананас (?), 01-Фев-26, 11:05
	там поди только 1 разраб
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (1), 01-Фев-26, 11:26
	Да, этот как-то топорно было. Джи Танг или как там того китайца/корейца/японца звали, что в ssh пушил, показал класс. Там по всему репозиторию растер и чудом заметили.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (20), 01-Фев-26, 12:27
	vibe pulling Спросят у чат бота почему не пулится, получат и применят ответ. И всё работает как надо.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	–3 +/–
Сообщение от Аноним (3), 01-Фев-26, 11:06
"Си дыряв — пишу на NodeJS и Rust", — говорили они.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+2 +/–
	Сообщение от Grigoriy Wiser (ok), 01-Фев-26, 11:18
	Вы адекватны? При угоне доступа без разницы, на каком языке написан код, хоть на ассемблере, хоть "0010 0101 1110".
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	–1 +/–
Сообщение от Аноним (4), 01-Фев-26, 11:08
Первый раз слышу о таком проекте, ну это же не хром или ядро, очевидно что проект маленький, ну какая там команда разработчиков, человек 10? Понимаю если 100, тогда ещё можно не уследить, но тут же вполне реально вчитываться в присылаемые изменения, даже от коллег. Ок, примем что ребята просто на доверии, расслабились и не учли что возможность компрометации никогда не равна нулю.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (11), 01-Фев-26, 11:34
	Первая CMS на Python, ей лет тридцать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (15), 01-Фев-26, 12:03
	То что вы о проекте не слышали, не говорит о том, что он не популярен. В своё время Plone была одной из самых популярных CMS, но потом её вытеснил WordPress. https://ru.wikipedia.org/wiki/Plone
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

5. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+1 +/–
Сообщение от Аноним (4), 01-Фев-26, 11:09
А еще интересно, кто стоит за этим, и похожими взломами реп питона и жс.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	–1 +/–
	Сообщение от Аноним (8), 01-Фев-26, 11:20
	АНБ и ко зачёты сдают
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	+/–
	Сообщение от Васян АНБенович (?), 01-Фев-26, 12:05
	-- -- - - АНБ и ко зачёты сдают Ну понятно что там всё онлиинглишьамерикэн и всё такое, ведь это всё оттуда растёт ногами и задом... Но кроме них чтоле других пАрядЫшных людей нет на зимле?
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
Сообщение от Аноним (4), 01-Фев-26, 11:20
А вообще, нужно уже придумывать что то новое, для избежания подобных атак, хз, не принимать например изменения от непонятно кого, например, или в чате разработчиков ввести правило, что перед тем как кто-то вносит изменения, обязательно всех оповестить об этом, ну и всем работать не через токены, а просто предлагать изменения, и далее в чате, только уже после, решать, вносить их или нет. Хакерам для такого придется еще и чат ломать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (8), 01-Фев-26, 11:21
	Да да а патчи по емайл принимать одному человеку...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Васян (?), 01-Фев-26, 12:11
	-- - - -- Да да а патчи по емайл принимать одному человеку... Не, па тилифону и с помащью голасавого памощника... всё должно быть ридонли, полная изаляцыя синей изолентой и в пластиковом контейнере с фольгой запаковано потом. Любимая тема всяких разрабов всяких фич будущего человечества.
	Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
Сообщение от Аноним (13), 01-Фев-26, 11:46
> Для предотвращения подобной подмены веток в будущем разработчики Plone включили в GitHub правила, блокирующие операции "force push" для основных веток и тегов. Это первое, что должны делать сопровождающие новых реп. Странно, что гитхаб сам не рекомендует отключить force в мастер ветки.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (14), 01-Фев-26, 11:56
	И что предлагаешь делать всяким винампам? Их же засудят на много денег.
	Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
Сообщение от нах. (?), 01-Фев-26, 12:15
В незамеченный репозиторий незамеченной поделки добавили незамеченный вредоносный код. новости которые мы заслужили
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Атакующим удалось добавить незамеченный вредоносный код в ре..."	+/–
	Сообщение от Аноним (19), 01-Фев-26, 12:25
	А вот какой профит в таком добавлении вредоносов?
	Ответить \| Правка \| Наверх \| Cообщить модератору