Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от opennews (??), 17-Сен-25, 09:27
Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации  NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63894
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Сен-25, 09:27	+24 +/–
> червь поразил 187 пакетов в NPM Не может быть! Никогда такого не было!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #18, #116

2. Сообщение от Аноним (-), 17-Сен-25, 09:47	–7 +/–
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages. Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

3. Сообщение от Аноним (3), 17-Сен-25, 09:56	+5 +/–
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимости Невероятно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

4. Сообщение от ptr (ok), 17-Сен-25, 09:59	+11 +/–
> червь поразил Как раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе. > total of 3,583,991 packages Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24, #56

6. Сообщение от Аноним (6), 17-Сен-25, 10:04	+6 +/–
Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 17-Сен-25, 10:05	+/–
Автоматизацию теперь червем называют?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #129

10. Сообщение от freehck (ok), 17-Сен-25, 10:13	+/–
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog. Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #121

11. Сообщение от Аноним (11), 17-Сен-25, 10:13	+6 +/–
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз. Появление червя был лишь вопросом времени.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #134, #158

12. Сообщение от Жироватт (ok), 17-Сен-25, 10:14	+5 +/–
И вот опять! Но на этот раз не криптостиллер и не майнер - уже что-то новое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #72

13. Сообщение от 12yoexpert (ok), 17-Сен-25, 10:42	+4 +/–
красивое
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от пох. (?), 17-Сен-25, 11:11	+3 +/–
Ага, а говорили - "язык плохой"!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #29

15. Сообщение от Аноним (15), 17-Сен-25, 11:13	–2 +/–
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #99

16. Сообщение от SKZ (?), 17-Сен-25, 11:32	+/–
А хоть в жабаскрипт что-нибудь компилирует?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #51, #57, #71, #82

18. Сообщение от Аноним (18), 17-Сен-25, 11:52	+1 +/–
Дежурная шутка. Уже не смешно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #26, #30, #39

20. Сообщение от Аноним (24), 17-Сен-25, 11:55	+/–
Как опять? Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

21. Сообщение от Аноним (24), 17-Сен-25, 11:56	+/–
Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

23. Сообщение от Аноним (27), 17-Сен-25, 11:59	+1 +/–
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов. Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #33, #62

24. Сообщение от Аноним (24), 17-Сен-25, 12:00	+/–
А как они выявляют заражение? Сканируют каждый раз вручную весь репозитарий антивирусом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #40, #109

25. Сообщение от Аноним (24), 17-Сен-25, 12:03	–1 +/–
>которые способен обнаружить сканер TruffleHog Не пора ли объявить указанный пакет зловредом в их репозитарии? Или будут продолжать жрать кактус и выкапывать стюардессу...
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 17-Сен-25, 12:05	+3 +/–
> Дежурная шутка. Уже не смешно. Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #97, #148

27. Сообщение от Аноним (27), 17-Сен-25, 12:08	+/–
А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

28. Сообщение от Веб разработчик (?), 17-Сен-25, 12:09	+1 +/–
А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #41, #88, #123, #135, #138, #147, #149

29. Сообщение от Аноним (29), 17-Сен-25, 12:10	+3 +/–
Прямо с языка сорвал. Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #34

30. Сообщение от Жироватт (ok), 17-Сен-25, 12:13	+4 +/–
Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от Аноним (31), 17-Сен-25, 12:18	+1 +/–
Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #35, #70

32. Сообщение от SKZ (?), 17-Сен-25, 12:28	+4 +/–
NPM и всре жабаскриптовое болото - это сам по себе червь, пожирающий тонны ресурсов по всему миру.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

33. Сообщение от Карлос Сношайтилис (ok), 17-Сен-25, 12:36	–2 +/–
> задуматься от отказа от подобных моделей растпространения пакетов Проблема не в модели, а в отсутствии изоляции. Большинство разработчиков не используют локально контейнеры и при запуске пакетов, и те могут делать с локальной фс что захотят. Это не просто дырочка в безопасности, это целый портал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #117

34. Сообщение от Аноним (34), 17-Сен-25, 12:38	–1 +/–
Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43, #49

35. Сообщение от Аноним (34), 17-Сен-25, 12:39	+/–
Но а где взять на замену столько прокладок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

36. Сообщение от Ценитель GPL рогаликов (?), 17-Сен-25, 12:47	+/–
Чуть ли не каждую неделю какие проблемы с безопасностью в NPM репах. Складывается впечатление, что какие-то спецслужбы учатся взламывать и заражать GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #45, #74, #93

37. Сообщение от Соль земли2 (?), 17-Сен-25, 12:49	+/–
Особенно бесит, что нельзя переместить node_modules. Костыли не предлагать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #44, #47

39. Сообщение от Аноним (1), 17-Сен-25, 13:20	+3 +/–
Ёжики кололись и плакали, но продолжали грызть NPM.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

40. Сообщение от Аноним (1), 17-Сен-25, 13:21	+/–
А на что сканировать, если не знаешь, что искать? Сейчас такие технологии у программистов, что обычный код работает, как троян.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #46

41. Сообщение от Данные в так называемом поле Name (?), 17-Сен-25, 13:23	+/–
Так и есть. Просто популярность JS почему-то сильно преуменьшина
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

42. Сообщение от Аноним (44), 17-Сен-25, 13:30	+/–
Нет. Дефекты архитектуры проекта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #50

43. Сообщение от Аноним (-), 17-Сен-25, 13:31	–3 +/–
> Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io? Шо будет, шо будет? Ничего не будет (с) opennet.ru/opennews/art.shtml?num=63875 Сведений об успешном захвате учётных данных в ходе атаки пока нет. Растовики просто оказались поумнее жаваскриптеров или разработчиков СИшных ХЗ либ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #58

44. Сообщение от Аноним (44), 17-Сен-25, 13:31	+3 +/–
В вам никто ничего и не предлагает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

45. Сообщение от Аноним (45), 17-Сен-25, 13:54	+/–
Не надо искать злой умысел в том что прекрасно объясняется глупостью и некомпетентностью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #68, #90

46. Сообщение от Аноним (24), 17-Сен-25, 14:14	+1 +/–
ну хотя бы поиск по подстроке "Shai-Hulud" и файлики "data.json"... а так, да, можно вообще ничего не делать - зачем, если программисты все равно так пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #114

47. Сообщение от Аноним (24), 17-Сен-25, 14:17	+/–
1) смотря что вы считаете костылями. 2) а что не костылями. 3) стандартный "ln -s" на уровне файловой системы Вас уже не устраивает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #52, #92

49. Сообщение от пох. (?), 17-Сен-25, 14:18	+4 +/–
злой хакер запутается в закорючках, устанет бегать от борова, заплачет и уйдет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #115

50. Сообщение от Аноним (24), 17-Сен-25, 14:18	+1 +/–
Стюардесса уже была такая, когда ее выкопали!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от Аноним (-), 17-Сен-25, 14:19	+/–
Если я правильно понял, то в качестве примера можно дать Elm, PureScript, Haskell (ghcjs), CoffeeScript.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #64

52. Сообщение от 12yoexpert (ok), 17-Сен-25, 14:19	+3 +/–
это же консоль, ты что, псих что ли? мы не знаем, что это такое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #69

53. Сообщение от Аноним (56), 17-Сен-25, 14:20	+1 +/–
Интересно, сколько времени нужно, чтобы ыксперды перестали обсуждать язык и репозитории, и вспомнили про то, что работа с репозиториями должна проводится из среды, не имеющей возможности выполнения кода, а выполнение кода должно быть в среде, не имеющей доступа к репозиторию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #60

55. Сообщение от 12yoexpert (ok), 17-Сен-25, 14:21	+1 +/–
мы бы вспомнили, если бы это было правдой, но это не она
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

56. Сообщение от Аноним (56), 17-Сен-25, 14:22	+/–
>и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения Если есть токен доступа, то запушить можно автоматически.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

57. Сообщение от Аноним (56), 17-Сен-25, 14:24	+/–
А так же ocaml, type script, reason ml, rescript, flow.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

58. Сообщение от Аноним (58), 17-Сен-25, 14:25	+1 +/–
Воот, __сведений__ нет. Пока нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #87

60. Сообщение от Аноним (34), 17-Сен-25, 14:30	+/–
Вы готовы назватьтакую среду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #63, #80

62. Сообщение от Аноним (56), 17-Сен-25, 14:32	+/–
Критикуешь - предлагай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #126

63. Сообщение от Аноним (56), 17-Сен-25, 14:35	–3 +/–
Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #66, #75, #111, #113

64. Сообщение от SKZ (?), 17-Сен-25, 14:49	+/–
> Если я правильно понял, то в качестве примера можно дать Elm, PureScript, > Haskell (ghcjs), CoffeeScript. Речь о сабже - делает ли он это (сама смузи-формулировка "компиляция в жабаскрипт" доставляет, просто-напросто)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

65. Сообщение от Сосиска (?), 17-Сен-25, 14:51	+/–
С этими вирусами теперь и вправду придётся по старинке вручную поддерживать зависимости. А тесты запускать внутри виртуалки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67, #89, #95

66. Сообщение от Аноним (24), 17-Сен-25, 14:53	–1 +/–
про выпрыгивание из докера на уровень хоста - не, не слышали про данные уязвимости? (я понимаю, притянуто за уши, но в целом с вами согласен.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

67. Сообщение от Аноним (24), 17-Сен-25, 14:54	+/–
а мы и не прекращали. что у вас за среда разработки, в которой Вы манкируете правилами безопасности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

68. Сообщение от Аноним (24), 17-Сен-25, 14:55	+/–
«Умное лицо — это ещё не признак ума, господа. Все глупости на земле делаются именно с этим выражением лица. Улыбайтесь, господа. Улыбайтесь!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

69. Сообщение от Аноним (24), 17-Сен-25, 14:57	+/–
ну, прокатило бы, еслиб я не знал что в js тоже есть консоль. и с нее js и начинался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #73

70. Сообщение от Аноним (24), 17-Сен-25, 15:02	+1 +/–
Яндекс как то попробовал из курьеров-доставщиков еды, сделать армию "погромистов", и освоить профессии тестировщика, аналитика, дизайнера, разработчика ПО и др. Но у них "что то пошло не так"! В чем же они просчитались - до сих пор не поймут. Право рассчитывать на место в программе «Яндекса» смогут курьеры со стажем работы в «Еде», «Лавке» или «Доставке» не менее полугода. ... Следующим этапом будет тест на мотивацию https://www.cnews.ru/news/top/2022-04-19_yandeks_verbuet_kur...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

71. Сообщение от Аноним (24), 17-Сен-25, 15:05	+/–
комментатор поскупился на запятые, скорее всего он имел ввиду "в этом вашем жаваскрипт, ну хоть кто нибудь компилирует код в бинарники?" в оригинале комментария, да, выглядит косноязычно и вырвиглазно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #76

72. Сообщение от 1 (??), 17-Сен-25, 15:05	+4 +/–
Эволюция ! Уже добрались до червячков, скоро кони поскачут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

73. Сообщение от 1 (??), 17-Сен-25, 15:09	+/–
И в этой консоли можно выполнить ln -s и mount ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #78

74. Сообщение от 1 (??), 17-Сен-25, 15:12	+/–
Нифигасе ... Т.е. "Говорим NPM - подразумеваем Linux! Говорим Linux - подразумеваем NPM !" (почти дословная цитата)  ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

75. Сообщение от 1 (??), 17-Сен-25, 15:14	+1 +/–
Ок. У тебя докер, в докере нода, в ноде майнер. "Ну что сынку помогли тебе твои лях^W докеры ?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #77, #81

76. Сообщение от SKZ (?), 17-Сен-25, 15:23    Скрыто ботом-модератором	+/–
Нет, смузи-кодеры именно, что "компилируют в жабаскрипт". Вот и вопрос - делает ли что-то подобное сабж?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

77. Сообщение от Аноним (24), 17-Сен-25, 15:24	+1 +/–
Например, если нужно, чтобы контейнер использовал не более 01% одного процессора, используется команда: docker run --cpus="0.01" тестовый контейнер Например, можно задать доли в два раза большие для одного контейнера по сравнению с другими: docker run --cpu-shares=2048 тестовый контейнер два как бы это основы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #146

78. Сообщение от Аноним (24), 17-Сен-25, 15:27	+/–
нет. по большей части это просто консоль вывода, чем ввода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

79. Сообщение от Аноним (114), 17-Сен-25, 15:28	+/–
А вот и "паровозик" в программной управляющей инфраструктуре. Контроль гуманоидов над процессом утрачен.
Ответить | Правка | Наверх | Cообщить модератору

80. Сообщение от Аноним (114), 17-Сен-25, 15:33	+/–
"активная среда 1" -> "данные" -> "активный репозиторий без прав изменения пакетов" сейчас "клиент репозитория" -> "репозиторий" - данные никто не видит и не может охранять их целостность и анализировать на безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

81. Сообщение от Аноним (56), 17-Сен-25, 15:48	+/–
Майнеру нужен доступ в сеть, а условный докер можно запустить без сети, а зависимости ставить через условный nix. Nix собирает зависимости в изолированном окружении, без доступа к сети. >"Ну что сынку помогли тебе твои лях^W докеры ?" Вам нужно больше продвинутых инструментов, а не меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

82. Сообщение от Аноним (114), 17-Сен-25, 15:48	+/–
одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #96

84. Сообщение от Аноним (114), 17-Сен-25, 16:00	–1 +/–
>Вредоносные релизы формируются для 20 наиболее популярных пакетов Вот так просто объявить релиз?! А где спасительная - в данном случае - бюрократия? Где этапы заморозки и т.п.?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #120

86. Сообщение от Аноним (114), 17-Сен-25, 16:03	+/–
Объекты и субъекты управления в этой среде стали "прозрачными" и поддаются автоматизации для хулиганов - как структура исполнительного модуля в памяти. Не удивительно, что появился  червь.
Ответить | Правка | Наверх | Cообщить модератору

87. Сообщение от Аноним (-), 17-Сен-25, 16:04	+/–
Ну вот когда будут, тогда  ̶и̶ ̶п̶о̶г̶о̶в̶о̶р̶и̶м̶ будем слушать "какое карго шeрeт0". Пока это просто крики из 🐓 угла. А то так можно сказать "в linux kernel пока не найден бекдор". Благо прецеденты были от АНБ, которые по 10 лет жили не тужили. Т.е он там может быть с очень ненулевой вероятностью)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #124, #141

88. Сообщение от Аноним (88), 17-Сен-25, 16:06	+/–
А вы думаете что js это одно, а остальное - другое? Нет, эта практика порочная, вне зависимости от выбранного языка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

89. Сообщение от Аноним (114), 17-Сен-25, 16:06	+/–
>придётся по старинке вручную поддерживать зависимости. и не сойти с ума.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

90. Сообщение от Аноним (114), 17-Сен-25, 16:10	+/–
То есть червь был всегда. Он просто спал энное количество лет и проснулся сам по себе? Когда хотят свести к глупости - это заметают следы и отвлекают внимание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

92. Сообщение от Соль земли2 (?), 17-Сен-25, 16:23	–1 +/–
Это костыль! В Python можно перенести куда угодно virtualenv, rust/go ставят тоже всё отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

93. Сообщение от Соль земли2 (?), 17-Сен-25, 16:25	+/–
Они не будут так рисковать быть раскрытыми.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

95. Сообщение от Соль земли2 (?), 17-Сен-25, 16:29	+/–
Сначала руками, потом напишете скрипты, а потом и свою пакетную систему. Раз никто этого ещё не сделал, значит всех всё устраивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

96. Сообщение от SKZ (?), 17-Сен-25, 16:29	+/–
> одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости. И все при деле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

97. Сообщение от Аноним (97), 17-Сен-25, 16:40	+/–
так это вам же и наставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

98. Сообщение от Гена (??), 17-Сен-25, 16:53	+/–
Судя по всему через пару дней ждем новостей об аналогичном червячке в крейте Раста. Посмотрим, как зумеры будут его ловить. Модератор перед затиранием поста, ознакомься пожалуйста, с новостью https://www.opennet.me/opennews/art.shtml?num=63875
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

99. Сообщение от Аноним (99), 17-Сен-25, 16:53	+1 +/–
Ну если гос комп куплен во времена Бени и с тех пор не менялся - не мудрено. Тут на четвертых то пнях воют что страницы тяжелые, с таким то вообще жизни нет. Мож оно это - написать повыше чтоб компы перестали кирпичом чистить да подновили парк а то уже реакт у них на 3 секунды подвисает)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

103. Сообщение от Аноним (-), 17-Сен-25, 17:53	+/–
> Судя по всему, атака не ограничивается упомянутыми 187 пакетами Хипстики такие хипстики. Даже не знают - насколько именно их поимели. Просто топчик. Вроде 187 пакетов, но вроде продолжает создаваться. А, погодите, ноджыэс же вместе с гитхабом макйрософт взял под крыло. И сделав всем мозг своими 2FA и чем там еще ... обеспечил безопасность. И выглядела эта безопасность как гигантский червь. Окей, майкрософт!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104

104. Сообщение от Аноним (114), 17-Сен-25, 18:28	+1 +/–
Вспомнился Windows 90-х...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

108. Сообщение от Аноним (108), 17-Сен-25, 19:23	+2 +/–
Ждём трёхфакторную аутентификацию + отпечаток большого пальца левой ноги и снимок сетчатки ближайших родственников и/или членов семьи...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131, #139

109. Сообщение от Джон Титор (ok), 17-Сен-25, 20:15	+/–
О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию, это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно типичные операции пушинга релиза пакета с одним и тем же файлом в разные пакеты должно у эвристического анализатора вызвать подозрения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #140

111. Сообщение от Джон Титор (ok), 17-Сен-25, 20:23	+/–
>> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd. Хрень не соответствующая предыдущему вашему комментарию. До того ж докер для коммерческого применения платная (ну может не в России, но за рубежом она платная для коммерции).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #133

112. Сообщение от Джон Титор (ok), 17-Сен-25, 20:27	+/–
Идея вируса отличная, вопрос только - зачем? Типа сам автор опубликовал данные о системе. Интересно!
Ответить | Правка | Наверх | Cообщить модератору

113. Сообщение от Аноним (-), 17-Сен-25, 20:39	+/–
> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на > хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, А червякам большая разнциа - из контейнера себя рассылать или с хоста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #122

114. Сообщение от Аноним (114), 17-Сен-25, 21:09	+/–
> "Shai-Hulud" и файлики "data.json" А кто сказал, что это не отвлекающий след?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

115. Сообщение от Аноним (114), 17-Сен-25, 21:11	–1 +/–
Да ничего сложного в borrow нет. Просто надо свыкнуться, у у данных есть Один владелец, а не каждый участок кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

116. Сообщение от Аноним (116), 17-Сен-25, 21:12	+/–
> Не может быть! Никогда такого не было! Совсем классику забыли. Правильно: "Вспомнити npm leftpad!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

117. Сообщение от Аноним (114), 17-Сен-25, 21:15	+1 +/–
Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #118

118. Сообщение от Карлос Сношайтилис (ok), 17-Сен-25, 21:35	+1 +/–
> Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции" Целый день бился головой об стену. Проблема не в отсутствии мозгов, а в стене.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #125

119. Сообщение от Аноним (119), 17-Сен-25, 21:56	+/–
Без разницы. Сам crowdstrike такая же малварь как и это https://xakep.ru/2025/09/15/huntress-rare-look/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

120. Сообщение от Роман (??), 17-Сен-25, 22:03	+/–
какая еще бюрократия и заморозка на bazaar - там же идея всего этого NPM хранилища убрать фрикции для разработчиков, чтобы перестали ходить к админам в свитерах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

121. Сообщение от Аноним (121), 17-Сен-25, 22:03	+5 +/–
еще больше "Какие молодцы" выйдет, елси на этом коде научится очередной (название условное) чат гипити и начнёт в новые проекты вставлять подобный код.. ну да, в похожей ситуации такой код был. значит и вам нужен. вот тогда да, выйдет замечательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #144

122. Сообщение от Аноним (121), 17-Сен-25, 22:18	+/–
В предложенной схеме, не всё равно 1. там не сети 2. ключей там тоже нет, соотв компрометировать нечего,
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

123. Сообщение от Аноним (-), 18-Сен-25, 00:07	+/–
В С тоже есть пакетные менеджеры и не один, но они просто не популярны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

124. Сообщение от Аноним (-), 18-Сен-25, 00:21	+/–
Я как-то на заводе работал очень давно. Так вот случались случаи что присылали новую электронику из-за рубежа для разработки. Так вот выглядит как рабочее, только вот не работает как необходимо. Допустим программатор - вроде работает, но работает неправильно. Программу можно хоть 1000 раз проверить, но программирует контроллер неправильно. В чем дело? Недостаточно знаний о контроллере? Неправильная программа? И некому помочь из специалистов - не знают в чем причина. Т.е. контроллеры определенной фирмы применять нельзя, не работают. Перешли на другие - работают, но это все время тянет. И только через годы приходит на ум то что с программатором то может быть что-то не так. Разобрали, а там один контакт недопаян. Вот случайность когда такие ситуации бывают? Так-что прецеденты с АНБ в этом случае могут быть весьма широкими и один из наиболее очевидных - только определенным клиентам может прийти что-то другое. Так вообще никто ничего не заметит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

125. Сообщение от Аноним (114), 18-Сен-25, 00:46	+/–
Точнее, мне кажется: В отсутствие подушечке на голове
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

126. Сообщение от Аноним (114), 18-Сен-25, 00:47	+2 +/–
Предлагаю покритиковать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

128. Сообщение от Аноним (-), 18-Сен-25, 01:18	+/–
> Судя по всему Судя по чему? Голосам в голове? > ждем новостей об аналогичном червячке в крейте Раста. Почти в каждой новости кто-то "ждёт". За всё это время могли бы собраться и сами написать червя. Ах, да, не получается осилить синтаксис, да и с боровом тягаться слишком сложно. > Посмотрим, как зумеры будут его ловить. А что там смотреть? В прошлый раз был тайпсквотинг с добавлением вредоносного кода. Нашли. Удалили. https://www.opennet.me/opennews/art.shtml?num=57169
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

129. Сообщение от Аноним (129), 18-Сен-25, 01:38	+1 +/–
Компьютерный червь — это самовоспроизводящаяся вредоносная программа, которая распространяется по сетям, используя уязвимости, и не требует для этого действий пользователя или прикрепления к другим файлам. В отличие от вирусов, которые для активации и распространения могут нуждаться в запуске пользователем зараженного файла, черви действуют автономно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

131. Сообщение от 0xdeadbee (?), 18-Сен-25, 06:21	–3 +/–
достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key. возможно, приватные ключи придется сдать на проверку подбором пассфразы по словарю. если подобралось за разумный срок - посылать на переделку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #136

133. Сообщение от Аноним (56), 18-Сен-25, 10:44	+/–
>До того ж докер для коммерческого применения платная Берите не докер. Для изоляции доступно куча утилит, хоть systemd, хоть incus, хоть lxc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

134. Сообщение от OpenEcho (?), 18-Сен-25, 11:16	+/–
> А потому что в JS принято обновлять все npm в слепую. А у других что, прям так, каждый стороний пакет - пересмотр исходников?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #137

135. Сообщение от OpenEcho (?), 18-Сен-25, 11:19	+/–
>  в Go вообще с гитхаба но через гугло прокси, как раз чтоб предотвращать, подробнее: https://go.dev/blog/supply-chain
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

136. Сообщение от OpenEcho (?), 18-Сен-25, 11:41	+/–
> достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key. А что мешает хулигану сделать тоже самое и подписать своим гпг? Он с таким же успехом может загрузить свой публичный ключ указав там ваше имя. Это все равно что самому себе паспорт выдавать, веры то только такому паспорту - ноль
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #152, #153

137. Сообщение от Аноним (56), 18-Сен-25, 12:24	–1 +/–
В c/c++ культуры переиспользования кода почти нет, и очень часто даже для самых обычных вещей пишется свой кривой-косой велосипед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #145

138. Сообщение от Аноним (-), 18-Сен-25, 12:58    Скрыто ботом-модератором	+/–
Pypi поддерживает подписи PGP пакетов, что решает проблему с под мной пакетов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

139. Сообщение от Аноним (116), 18-Сен-25, 13:04	+/–
Я когда-то пробовал зарегаться на мордокниге - быстро заблочили и потребовали скан паспорта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

140. Сообщение от Аноним (-), 18-Сен-25, 14:32	–1 +/–
> О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию, > это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно > типичные операции пушинга релиза пакета с одним и тем же файлом > в разные пакеты должно у эвристического анализатора вызвать подозрения. Особенно эффективно этот ботнет-антивирус ... сломал куче корпораций компьютерные системы, в общем идея заразиться самым крутым вирусом чтобы вирусы пожиже обломались - ну такая себе, спорненькая :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

141. Сообщение от Аноним (141), 18-Сен-25, 18:10	+/–
У того бекдора от АНБ чуть название изменили только, убрали "NSA". А так он есть и по сей день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

142. Сообщение от Anonymus (?), 18-Сен-25, 21:30	+/–
>После активации червь осуществляет поиск учётных данных в текущем окружении >В случае обнаружения токена подключения к каталогу NPM >Помимо токена доступа к NPM червь сохраняет ключи доступа к <...> Пароли небезопасны, говорили они... Пароль перехватят, ключи - молча и незаметно украдут, и в чём разница?
Ответить | Правка | Наверх | Cообщить модератору

143. Сообщение от Аноним (-), 18-Сен-25, 22:56	+/–
А чё они не пристрелили вендовс, когда тот весь в червях был? Мир так не работает, увы. Люди будут героически преодолевать проблемы. А потом ещё и ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

144. Сообщение от diakin (ok), 19-Сен-25, 05:08	+/–
>на этом коде научится очередной (название условное) чат гипити Ой, это будет круто! )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

145. Сообщение от OpenEcho (?), 19-Сен-25, 10:40	+/–
> В c/c++ культуры переиспользования кода почти нет, и очень часто даже для самых обычных вещей пишется свой кривой-косой велосипед. Вы уверены? А как же vcpkg, Conan, Hunter, Buckaroo, Poac, Cabin ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

146. Сообщение от 1 (??), 19-Сен-25, 14:24	+/–
Да да - "выключенный компьютер в сейфе из интернета не взломать". Зачем мне докер, который без сети и процессора ? Смотреть на него ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

147. Сообщение от Аноним (147), 19-Сен-25, 17:11	–1 +/–
В PHP пакетник никак не используется (я про его существование до данного поста не знал), в Си его нет и вовсе, потому эти языки делались на десятилетия, а потому являются безопасными, если сам кодер не дурак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

148. Сообщение от YetAnotherOnanym (ok), 19-Сен-25, 18:03	+/–
Зависть - плохое чувство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

149. Сообщение от YetAnotherOnanym (ok), 19-Сен-25, 18:08	+/–
> А где не так? Например, там, где принято отревизить зависимость, хотя бы поверхностно, и прибить проверенную версию гвоздями в скрипте установщика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

151. Сообщение от YetAnotherOnanym (ok), 19-Сен-25, 18:17	–1 +/–
Кгм... Вы меня извините, но "самораспространяющийся червь" - это масло масляное.
Ответить | Правка | Наверх | Cообщить модератору

152. Сообщение от 0xdeadbee (-), 20-Сен-25, 09:34	–1 +/–
> А что мешает хулигану сделать тоже самое и подписать своим гпг? хулиган отсутствет в списке авторизованных проверенных западла не коммитящих авторов NPM. > Он с таким же успехом может загрузить свой публичный ключ указав там > ваше имя. может. но ключ авторизованного проверенного западла не коммитящего автора NPM пришел первым. еще вопросы ? > Это все равно что самому себе паспорт выдавать, веры то только такому > паспорту - ноль веры любому паспорту РФ из региона ДИЧ - ноль. и они затаскивают свои привычки на остальную территорию РФ. не хотите читать политоту и многонационалку ? суйте свои аналогии поглубже в, не выпускайте их в паблик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #154

153. Сообщение от 0xdeadbee (-), 20-Сен-25, 09:37	+/–
вдогонку: NPM может профинансировать митап + пьянку + key signing party в реале, только для авторизованных проверенных западла не коммитящих авторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #155

154. Сообщение от OpenEcho (?), 21-Сен-25, 15:33	+/–
>> А что мешает хулигану сделать тоже самое и подписать своим гпг? > хулиган отсутствет в списке авторизованных проверенных западла не коммитящих авторов NPM. Вот здесь поподробнее... - кем проверен и кем авторизован? >> Он с таким же успехом может загрузить свой публичный ключ указав там >> ваше имя. > может. > но ключ авторизованного проверенного западла не коммитящего автора NPM пришел первым. Пришел? От кого? И почему первым? > еще вопросы ? Я однажды уже показал одному очень крупному проекту, как легко представится секьюрити офицером от того проекта не будь таковым... Есть еще вопросы? >> Это все равно что самому себе паспорт выдавать, веры то только такому >> паспорту - ноль > веры любому паспорту РФ из региона ДИЧ - ноль. > и они затаскивают свои привычки на остальную территорию РФ. > не хотите читать политоту и многонационалку ? Не, совсем не хочу, и вам не советую лезть с политикой в технику > суйте свои аналогии поглубже в, не выпускайте их в паблик. Хамим? С какого испугу паспорт должен быть привязан именно к РФ? Других стран нет? Серьезно это вас так торкнуло...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #156

155. Сообщение от OpenEcho (?), 21-Сен-25, 15:41	+1 +/–
> вдогонку: NPM может профинансировать митап + пьянку + key signing party в > реале, только для авторизованных проверенных западла не коммитящих авторов. И? Что же никто кроме 3 с половиной человека  с  Веботраста  до сих пор не организовали пьянку? И в Кернеле такая же картина, некогда им друг друга в реале перепроверять, делать кросс подписи, проверив живьем морду или на худой конец тот же паспорт. И где гарантии опять же простым смертным не присутвующим на пьянке верить тем кто в теории мог бы сделать (левые?) кросс подписи? Просто по имени ? Или просто что публичный ключ "первым пришел"? (кстати первыми как раз и могут быть от засланных казчков)  на публичных серверах Так что ваша секюрная ПГП подпись абсолютно не имеет никакого доверия. Пшик, который любой может настрогать представившись тем кто он на самом деле не есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

156. Сообщение от 0xdeadbee (-), 21-Сен-25, 16:02	+/–
> Я однажды уже показал одному очень крупному проекту, как легко представится > секьюрити офицером от того проекта очень хорошо. рад за вас. видимо у сосурити офицера того проекта не было ни пароля ни ключа ни сертификата. что же, значит такой офицер. однако: очень легко представиться директором какой-либо фирмы, сказать что в отпуске в таиланде, потерял ноутбук и смартфон, время не ждет, враги повсюду, и приказать бухгалтеру перевести все деньги на безопастный счет. но: в реале это присходит редко, успех - еще реже (с интервенцией в репозитории пакетов несравнимо). почему так ? // вы слишко много задали вопросов. я пока подожду с ответами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #157

157. Сообщение от OpenEcho (?), 22-Сен-25, 03:19	+/–
> // вы слишко много задали вопросов. я пока подожду с ответами. Вы не воктнули  в смысл того, что я сказал. ПГП подписи это тоже самое как стратус, который прячет голову в песок. Пока  ключи не подписанны **доверенным** 3rd independent party, которым верят все(!!!), толку от пгп подписей = 0 Сорри, но на пустопорожнее словоблудие нет время...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #159

158. Сообщение от илья (??), 22-Сен-25, 03:42	+/–
В сишарпе так же. Но уязвимости ни разу не видел
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

159. Сообщение от 0xedadbee (-), 23-Сен-25, 22:14	–1 +/–
> подписанны **доверенным** 3rd independent party, которым верят все(!!!), безопастник вскрылся. знайте, что "довереннным" CA я не доверяю, и всегда ищу способы их проверить. сколько уже продажных CA было ? и сколько еще будет ? поэтому только связки кросс-подписей и web of trust, как бы не смешно это звучало. ps: "!!!" и "**" вашу аргументацию отнюдь не усиливают, наоборот выглядит как истерика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #160

160. Сообщение от OpenEcho (?), 24-Сен-25, 23:05	+/–
> поэтому только связки кросс-подписей и web of trust, как бы не смешно это звучало. Действительно смешно :))) > ps: "!!!" и "**" вашу аргументацию отнюдь не усиливают, наоборот выглядит как истерика. Истерика??? Дал безплатно, разжевал что к чему и в итоге награда - назвали истеричкой... Меня никогда не перестанет удивлять опеннет... Ездите на конференции НПМ и лично проверяйте пгп ключи, не забудьте заскочить к Торвальдосу, там такая же картина как и с НПМ. Удачи короче !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема