Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM"	+/–
Сообщение от opennews (?), 05-Дек-20, 11:23
Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.1, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7"... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54198
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Иваня (?), 05-Дек-20, 11:23	+/–
Haha classic, интересно, когда же начнут бороться с вредоносными пакетами в NPM, проверять их какимнить антивирусом🤔
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #8, #16, #43

2. Сообщение от Тест (?), 05-Дек-20, 11:25	+16 +/–
Интересно, когда же перестанут бездумно подключать пакеты фронтендщики?🤔
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #28

3. Сообщение от Аноним (3), 05-Дек-20, 11:29	+/–
Почему только у npm так плохо, а у других нет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #9, #10, #17, #25, #36, #48, #50

4. Сообщение от Lex (??), 05-Дек-20, 11:31	+1 +/–
>> В месяц фиксируется около 75 миллиардов загрузок >> jdb.js, который успели загрузить около 100 раз > Haha classic, интересно, когда же начнут бороться с вредоносными пакетами в NPM Haha classic, интересно, когда же ноны начнут сопоставлять порядки величин п.с: вредоносные пакеты, кстати, вполне неплохо подчищаются
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #20

5. Сообщение от user90 (?), 05-Дек-20, 11:33	+1 +/–
Выпуск вредоносного пакетного менеджера)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

6. Сообщение от Аноним (6), 05-Дек-20, 11:35	+7 +/–
Эти пакеты, скорее всего, никто и не подключал. 100 скачиваний - это разнообразные роботы, которые скачивают все заливаемые тарболлы автоматически
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 05-Дек-20, 11:37	+5 +/–
На самом деле у всех открытых пакетных менеджеров так плохо, просто аудитория npm, видимо, наименее технически грамотна, чтобы своевременно обнаруживать "внедрёж", чем и пользуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 05-Дек-20, 11:43	+/–
https://youtube.com/watch?v=J7irfxq2YBM
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

9. Сообщение от Аноним (6), 05-Дек-20, 11:45	–2 +/–
Везде всё одинаково. Просто npm по объёму больше, чем Maven, Packagist, PyPI, nuget, Rubygems и CPAN вместе взятые
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от OpenEcho (?), 05-Дек-20, 11:46	+2 +/–
Где рыба лучше клюет, там ее и ловят. Там контингент по большей части из непуганных, или до 25 или "we moving fast, we breaking things..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

11. Сообщение от Аноним (3), 05-Дек-20, 11:46	+2 +/–
Yarn запрещает запуск скриптов во время установки
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 05-Дек-20, 12:19	–1 +/–
как защититься от этого?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #15, #18, #29, #39

13. Сообщение от Аноним (13), 05-Дек-20, 12:30	+7 +/–
>>Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения вредоносных модулей на языке JavaScript.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от leibniz (ok), 05-Дек-20, 12:33	+3 +/–
не писать на джабаскрипте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 05-Дек-20, 12:39	+5 +/–
не тянуть каждую какашку в рот
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19, #21

16. Сообщение от Dzen Python (ok), 05-Дек-20, 12:40	–1 +/–
https://www.youtube.com/watch?v=Jairxwhq4a0 Базарю, если поставить это в NPM все вредоносные пакеты будут дезинтегрироваться еще на стадии их написания
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

17. Сообщение от Dzen Python (ok), 05-Дек-20, 12:43	+3 +/–
Аудитория в тысячи раз больше, чем в PyPi Аудитория использует пакеты для веба, а не для чилодробилок, как в CRAN Аудитория неграмотная и тянет в рот все, что увидит, даже отдаленно похожее, а не как в СРАN, где уже все ученые патчем Брамина
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #32

18. Сообщение от Аноним (20), 05-Дек-20, 12:47	+5 +/–
Не использовать npm и не использовать внешние пакеты. Писать все самому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #24, #26

19. Сообщение от Аноним (47), 05-Дек-20, 12:48	+/–
от left-pad зависил даже react и babel. Ты не будешь тянуть, кака притянется по зависимостям
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22, #49

20. Сообщение от Аноним (20), 05-Дек-20, 12:49	–2 +/–
То что нашли не означает что больше вредоносов не осталось, а ты походу из этих из жабаскриптеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #60

21. Сообщение от Аноним (47), 05-Дек-20, 12:52	+/–
>Есть пакет под названием isArray, который скачивают 880 000 раз в день, 18 млн скачиваний в феврале 2016 года. У него 72 зависимых NPM-пакета. И вот его целая 1 строчка кода: >return toString.call(arr) == '[object Array]'; >Есть пакет под названием is-positive-integer (GitHub), который состоит из 4 строчек и которому на вчерашний день требовалось 3 других пакета для работы. Автор с тех пор провёл рефакторинг, так что теперь у пакета 0 зависимостей, но я не могу понять, почему это не было сделано сразу. >Свежая установка Babel включает 41 000 файлов кроме как не использовать npm вариантов нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #23

22. Сообщение от Аноним (15), 05-Дек-20, 13:26	+1 +/–
только конченные могут использовать эту платформу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (15), 05-Дек-20, 13:28	+/–
Ты какую-то чёрную непонятную магию рассказываешь... Кто ею пользуется? Миллион мух?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #27, #42, #44

24. Сообщение от Аноним (15), 05-Дек-20, 13:28	+4 +/–
Причём будет быстрее и безопасней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

25. Сообщение от лолшто (?), 05-Дек-20, 14:35	+2 +/–
Все что выше уже написали и скудная стандартная библиотека. Даже работа с датами и временем без сторонней библиотеки - это какая-то бессмысленная возня. А захочешь свое решение написать, то на этапе тестирования все равно что-то стороннее придется привлечь, потому что в коробке этого нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #41

26. Сообщение от Аноним (7), 05-Дек-20, 14:43	+1 +/–
Самое интересное, что в _долгосрочной_ перспективе выйдет гораздо лучше что в плане надёжности, что в плане эффективности, что в плане скорости разработки, чем ляпать на колене из фрикаделек из говна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #45

27. Сообщение от Аноним (37), 05-Дек-20, 14:45	+/–
У мягкостулых Стуло-Actions используют node.js.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

28. Сообщение от Галустян (?), 05-Дек-20, 14:46	+3 +/–
Когда изучат администрирование своей операционной системы. Но тогда они перестанут быть фронтэндщиками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #30, #47

29. Сообщение от YetAnotherOnanym (ok), 05-Дек-20, 15:03	+2 +/–
> как защититься от этого? Приказом по организации ввести правило: если в резюме упомянута нода - HR немедленно и навечно вносит соискателя в чёрный список.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #40

30. Сообщение от Антоон (?), 05-Дек-20, 15:05	–2 +/–
Зачем? Это оплачивается лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

31. Сообщение от Michael Shigorin (ok), 05-Дек-20, 15:27	+2 +/–
По этой логике в наркодилеры идти самое то.  Или органами барыжить. Вот только... в деньгах ли смысл жизни?  Это цель или средства?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #34, #55, #62

32. Сообщение от Michael Shigorin (ok), 05-Дек-20, 15:29	+/–
> патчем Брамина Гм, патч Бармина знаю, а это чё за индус такой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37, #57

33. Сообщение от Michael Shigorin (ok), 05-Дек-20, 15:29	+/–
Логичней уж тогда "менеджера вредоносных пакетов". :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #35

34. Сообщение от пох. (?), 05-Дек-20, 15:50	+/–
> По этой логике в наркодилеры идти самое то. Эх... чего ж в дилеры... в производители. Но ты бы знал, какой тогда был конкурс в Губкина :-( Вот и остается только работа по специальности - кюветы в принципе, норм входят на стоечные полки, лампочки можно прям сразу специальные брать, те что для внутристоечного освещения вполне годятся. С климатом в приличном ДЦ можно особо не мудрить, влажность внутри стойки сама поднимется. Но разьве ж этим заработаешь... так, на хлеб с пивасом :-( > Вот только... в деньгах ли смысл жизни?  Это цель или средства? Пока не заработаешь или украдешь - цель. Как образуются - средства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от пох. (?), 05-Дек-20, 15:51	+3 +/–
В принципе, название новости уже неплохо продвинулось в этом направлении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от Аноним (37), 05-Дек-20, 17:09	+/–
У других тоже есть. Просто все охотятся за низковисящими фруктами. 1. В npm огромные DAGи зависимостей, поэтому проверить конкретный пакет, нужный уже месяц назад, там труднее и дольше, поэтому никто и не будет. 2. Ситуацию осложняет javascript, где доступ к свойствам идёт через [], что позволяет запрятать evalы от статических анализаторов. В питоне, например, getattr - большой красный флаг. 3. а значит если твоя цель - найти сколько-то бэкдоров, то искать будешь в npmе, забив на остальные языки и менеджеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

37. Сообщение от Аноним (37), 05-Дек-20, 17:12	+2 +/–
Это корова такая, трёхголовая. "Патч" - заплатка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

38. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-20, 19:47	+/–
Пора обновить описание "npm - менеджер ВРЕДОНОСНЫХ пакетов".
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-20, 19:50	+1 +/–
1. Строго указывать зависимости в package.json (без ^ или ~), см. опцию save-exact=true в .npmrc. 2. Коммитить package-lock.json. 3. Следить за npm audit. 4. Хотя бы немного поглядывать за тем, какие пакеты устанавливаются по зависимостям. Возможно проще реализовать нужную функциональность самостоятельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

40. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-20, 19:52	+/–
- И, боже вас сохрани, не читайте до обеда советских газет. - Гм… Да ведь других нет. - Вот никаких и не читайте (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

41. Сообщение от Аноним (47), 05-Дек-20, 20:12	–1 +/–
Работа с датой и временем в js по сложности примерно такая же как в java 7.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

42. Сообщение от Аноним (47), 05-Дек-20, 20:21	+/–
Кем ей? Все кто пишет фронтэнд пользуются npm потом что вариантов нет. Я тоже и пользуюсь. И left-pad пользуюсь так как он в зависимостях у старого react и babel, а чтобы обновить придется треть когда фронтэнд переписать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

43. Сообщение от Аноним (43), 05-Дек-20, 20:23	+1 +/–
>интересно, когда же начнут бороться с вредоносными пакетами в NPM Бороться (давить в пелёнках сразу) надо с разработчиками, и пакетов, и NPM. Но поздно, теперь поможет только "личная гигиена" и бойкот NPM-щиков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

44. Сообщение от Аноним (47), 05-Дек-20, 20:34	+/–
собственно к пустому react проекту тоже устанавлияется однострочник isarray yarn why isarray => Found "isarray@1.0.0" info Reasons this module exists    - "readable-stream" depends on it    - Hoisted from "readable-stream#isarray"    - Hoisted from "react-scripts#eslint-plugin-import#doctrine#isarray"    - Hoisted from "react-scripts#webpack#node-libs-browser#buffer#isarray"    - Hoisted from "braces#snapdragon#base#cache-base#unset-value#has-value#isobject#isarray"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

45. Сообщение от Аноним (47), 05-Дек-20, 20:40	–1 +/–
Налепить квадратноколесых велосипедов в которых невозможно разобраться никому (и даже тому кто их лепил) Несомненно это будет гораздо надежнее, выстрее, дешевле Особенно когда придет другой разработчик с будет пытаться понять как этот громадный кусок ..овнокода работает и почему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #52

46. Сообщение от макаронофикус (?), 05-Дек-20, 20:59	+1 +/–
Что ж такое, во вредоносном репозитории опять выявлены пакеты. Сколько их там?
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 05-Дек-20, 22:41	+1 +/–
а кем же они тогда будут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

48. Сообщение от Аноним (47), 05-Дек-20, 23:40	+/–
кажется у maven нету preinsall, postinstall секций выполняющих что угодно с правами пользователя от которого запущен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

49. Сообщение от Lex (??), 05-Дек-20, 23:44	+/–
Так лефтпад оказался вирусом или проблема была в возможности разработчиком удалить собственный  пакет из репозитория когда ему вздумается, что приводит к временной неработоспособности зависимых от него пакетов( для проектов на стадии разработки, ведь у релизных тот код уже собран в кучу ) ?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

50. Сообщение от Ordu (ok), 06-Дек-20, 07:31	+/–
> Почему только у npm так плохо, а у других нет Сложно сказать, на данный момент. У каждого свои предположения, о том, что в npm не так, и поэтому есть разные подходы к одолению этого. Сравнивать результативность практически невозможно, в силу различной популярности проектов. Единственное что нам остаётся -- это верить в то, что базар окажется сильнее злоумышленников, и он найдёт способ существовать несмотря на них. Если это не так, то значит восторги Эрика Раймонда в отношении базара потеряли актуальность, базар не в состоянии масштбироваться, и единственный разумный выбор для нас -- пересеть на соборный оффтопик. Или лучше сразу на эпол: там няшный M1.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

51. Сообщение от Ordu (ok), 06-Дек-20, 07:34	+/–
Тут должен быть ещё один коммент, форсящий мем "вредоносный репозиторий". зы. сорри, у меня чёт креативность просела, чтобы сочинить что-нибудь хлёсткое. Но я старался, прошу занести это в протокол.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

52. Сообщение от пох. (?), 06-Дек-20, 13:17	+/–
То ли дело скачать половину интернета в зависимости, не забыв ни про leftpad, ни про isArray. Это-то каждому ж васяну сразу ясно-понятно как работает, и почему. > Особенно когда придет другой разработчик с будет пытаться понять как этот громадный кусок хороший способ отсева полуграмотных на испытательном сроке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #53

53. Сообщение от Аноним (47), 06-Дек-20, 16:54	+/–
как работает left-pad и isArray действительно понятно каждому васяну. Там же всего несколько строчек
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

54. Сообщение от Злюка (?), 06-Дек-20, 17:33	+/–
Ой, да ладно, старался он. Выпуск вредоносного пакетного менеджера NPM 7.1 ...применяемого для распространения модулей на вредоносном языке JavaScript. Node Packages Malware Node Polution Manager Node Programming Monkeys А вообще, пытался я пользоваться этим "пакетом для пакетов", хотел перейти эти смузи реку вброд, но нет - вернулся. Постоянные уязвимости, обновления, несовместимость версий, размер с ОС нулевых. Написал по старинке. Может и велосипед, но это просто велосипед: 2 колеса, руль и едет в нужном мне направлении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

55. Сообщение от Аноним (55), 06-Дек-20, 18:32	+1 +/–
Возможно выскажу непопулярное мнение, но вы, знаете ли, недалеки от истины. Потому что если не ваш начальник, то начальник начальника вашего начальника... В общем, вы так или иначе на этих людей работаете, но они ещё и имеют наглость вам недоплачивать и делать много других абсолютно недопустимых вещей. Так что им должна быть составлена конкуренция. Другое дело, что это мероприятие рисковое. А покупатели на этот товар всегда будут, как они существуют и на любой другой. Проблема в том, что наше общество инфантильно и живёт бредовыми мечтами о идеальных философских системах, скатываясь при этом и из-за этого в том числе в феодализм. Пишу из загнивающей Америки про загнивающий капитализм если что, доллар вот вот рухнет, госдолг ужасен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #56, #58

56. Сообщение от Аноним (56), 06-Дек-20, 19:02	+/–
> Пишу из загнивающей Америки Так США же флагман перестройки. Ну и феодализма, чего уж )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

57. Сообщение от Аноним (56), 06-Дек-20, 19:06	+/–
Ракетчик?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

58. Сообщение от _hide_ (ok), 07-Дек-20, 12:58	+/–
>>> Пишу из загнивающей Америки про загнивающий капитализм если что, доллар вот вот рухнет, госдолг ужасен. Да не переживайте Вы так. Долларов в США намного меньше, чем в других странах и пострадают от кризиса США куда как меньше. Более того, внутри США можно будет легко провести операцию "деноминация" или "свой доллар", в любом случае граждане это страны потеряют часть сбережений, но не уровень доходов и жизни. Поэтому проблемы с долларом начнутся не скоро -- власть имущие очень заинтересованы в сохранении этой финансовой пирамиды как можно дольше (и никого не волнует, что в будущем это означает конец цивилизации: после нас хоть потоп). А пока так будет, считать деньги при найме специалистов будут "особенным способом" и ставильщики из NPM-а будут в тренде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

60. Сообщение от Lex (??), 07-Дек-20, 13:28	+1 +/–
> То что нашли не означает что больше вредоносов не осталось, а ты > походу из этих из жабаскриптеров. Я из тех в т.ч жабаскриптеров( точнее, реакт-нативеров, у которых пакетный менеджер - тоже npm или yarn, но обычно используют последний, поскольку тот несравненно быстрее и менее косячный ), которые ни разу не сталкивались с говнопакетами на npm даже просто потому, что, прежде чем что-то качать, смотрю на описание пакета, статистику, динамику его развития и проч( и именно вредоносных пакетов среди отклоненных очень мало. Скорее всего, речь о пакете, который разрабы устали поддерживать или он потерял актуальность, потому тянуть его в проект не стОит ). Кроме шуток, 1*10^2 / ( 7,5 * 10^10 ) * 100% = 1/7,5 * 10^-6 % = 0,133 МИЛЛИОННЫХ ПРОЦЕНТА( т.е примерно на уровне одного процента от одного процента от одного процента ) Есть смутное подозрение, что среди не_нпм разрабов доля туполобых, качающих любые васяновские пакеты, модули и копипастязих соотв куски кода как минимум не меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

61. Сообщение от Аноним (61), 08-Дек-20, 09:40	+/–
Deno бы решил проблему с пакетами вида "запускаемый во время\после установки" скрипт?
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноним (62), 08-Дек-20, 10:41	+/–
Нарко и т.п. барыжничество некорректно сравненивать, т.к. опасность для жизни в разы выше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема