Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios"	+/–
Сообщение от opennews (?), 03-Апр-26, 09:13
Сопровождающий NPM-пакет axios, для которого на днях были выпущены вредоносные обновления, раскрыл подробности атаки, в результате которой атакующим удалось получить доступ к его компьютеру и всем учётных данным. Атака была  проведена с использованием типового метода социального инжиниринга, который ранее уже использовался для компрометации разработчиков криптокошельков и AI-платформ... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65134
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от 27778 (?), 03-Апр-26, 09:13	+7 +/–
Что сказать? Чел хотел "срубить" бабосиков (оказывается разрабы тоже кушать хотят, кто-бы мог подумать), потерял бдительность, ну и ему "прилетело". Суть сей басни такова, что разрабам нужно платить, чтобы у них не возникало потребности смотреть по сторонам, где-б капусту нашинковать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #21

2. Сообщение от Аноним (2), 03-Апр-26, 09:19	+4 +/–
Сколько свинью не корми… Другой бы остановился подумать, что за мусор ему предлагают скачать, но, видимо, не привыкать к рандомным блобам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #5, #35

3. Сообщение от 27778 (?), 03-Апр-26, 09:20	–1 +/–
Свинья, не свинья, а чела 100 млн загрузок в неделю. А у тебя? Можешь не отвечать, вопрос риторический.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #30, #31

5. Сообщение от 12yoexpert (ok), 03-Апр-26, 09:34	+6 +/–
всё же нужно делать скидку на то, что он пишет на жс, то есть мог в принципе ничего не знать о существовании троянов, вирусов и прочих таких технических диковинок ну и что ты хочешь от человека, который без задней мысли запускает у себя проприетарный софт вроде слака или наколеночных поделок майкрософт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10, #13

6. Сообщение от Bob (??), 03-Апр-26, 09:41	+3 +/–
>MS Teams. В ходе встречи возникли технические трудности, причиной которых назвали отсутствие необходимого дополнения на стороне сопровождающего А всю сию деятельность нельзя не с рабочей тачки проворачивать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11, #46

7. Сообщение от 12yoexpert (ok), 03-Апр-26, 09:46	+1 +/–
это у тебя на заводе есть рабочая тачка, уважающие себя люди работают со своего железа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

8. Сообщение от Аноним (8), 03-Апр-26, 09:52	+1 +/–
Выдал себя за основателя какой известной компании? Прямо можно написать название компании? Там листинг огромный читать не хочу.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Джон Титор (ok), 03-Апр-26, 10:31	+/–
Я работаю на удалёнке последние годы и для этого взял отдельный рабочий ноутбук. Какие проблемы его взять? Тем более что у человека весьма много загрузок пакета в день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12, #19, #54

10. Сообщение от Витюшка (?), 03-Апр-26, 10:33	+3 +/–
"Запускает у себя pip install"...или cargo install, или go install или...список можно продолжать. Где в этот момент выполняются скрипты из пакета...ой...так это же так делают 99.9999% разработчиков. А ему просто не повезло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #37

11. Сообщение от Аноним (-), 03-Апр-26, 10:34	+/–
С виртуалки... Особенно если QubesOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Витюшка (?), 03-Апр-26, 10:34	+/–
Можно. А зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

13. Сообщение от Джон Титор (ok), 03-Апр-26, 10:46	–1 +/–
Может проблема в том что работодатели несколько обнаглели и фактически каждый пытается что-то поставить на ваш ПК для отслеживания чем вы там занимаетесь или ещё чего? Даже в больших компаниях, в офисе, говоришь менеджеру что на софт ругается антивирус, а он что-то выдаст вроде это софт от заказчика, он сказал поставить, это ошибка антивируса - поставь в исключение, оно мешает работать. А потом слышим в новостях как одну или другую компанию взломали. А если на удалёнке, так после каждого нужно переустанавливать ОС потому что тот что-то ставил и потенциально это может быть вредоносным. А ещё желательно работать в изолированной сети. Я помню как-то работал над финтех проектом и мне такой Payoneer стучит и говорит что для прохождения тестового задания нужен ssh, подключение к удалённому ПК. Я говорю дайте настройки, а они - ты поставь наше программное обеспечение и админы все настроят. Я говорю что не могу так. Они расстроились. Так мы и не договорились. Потом я узнал что они где-то известные, а у меня на ПК тоже было ПО не меньше известное, правда я им не сказал причину отказа. Так может проблема в том что работодатели подобнаглели? И если не установишь что они просят - будешь без работы, значит без денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24, #26, #33

14. Сообщение от Джон Титор (ok), 03-Апр-26, 10:49	+/–
Это для тех кто работает удаленно. Затем чтобы все ваши конфиденциальные данные оставались на домашних ПК.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 03-Апр-26, 11:14	+/–
Смотрел на ютубе (разблокированного с помощью бесплатного openwrt и zapret) ролик про то как несколько раз звиздец подкрадывался к интернету. Вобщем один парнишка сопровождал опенсорс проект, который брали все и микро-софт и морда-книга. Ну вобщем случилась беда - у парня сгорел дом, сгорел дотла. Ну от к корпоратам, типа помогите че нить с жильем решить. Они в ответ улыбку чеширского кота. Ну парень на нервах похреначил часть своей работы на гитхабе. И о чудо - микромягкие откатили ветку назад, а парня заблочили. Так что есть хотят все, но некоторые хотят очень много есть, чтоб другим не осталось.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #23, #57

16. Сообщение от Аноним (16), 03-Апр-26, 11:17	+/–
Все централизованные репы типа npm, pypl, crates.io, pkg.go.dev нужно монетизировать, а деньги направлять на модерацию пакетов. Иначе мы все погибнем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

17. Сообщение от Аноним (8), 03-Апр-26, 11:25	+/–
У тебя установлен adblock и ютуб ты смотришь без рекламы. А авторы тоже кушать хотят. Так что и мы такие же, как корпорасты. Они не хотят тратить деньги, а мы время(ничего другого у нас нет).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от 12yoexpert (ok), 03-Апр-26, 11:33	+/–
если ты этот комп контролируешь - то никаких проблем а вот если тебе на работе выдали тормозной ноутбук (а они все тормозные) на ОС, которую ты не хочешь, и с софтом, который тебе не нужен или вредит, вот это проблема
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22

21. Сообщение от Андрей (??), 03-Апр-26, 11:47	+/–
Машина для разработки и машина для сёрфинга должны быть разными "машинами".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #36

22. Сообщение от Джон Титор (ok), 03-Апр-26, 11:52	+/–
Множество компаний проходят сертификацию ISO по контролю качества менеджмента и именно из-за регуляторных технологий и требований в разных стран или конечного пользователя они так и поступают. Ну по крайней мере некоторые так оправдываются. И тут не дело в том как вы пишете чуть выше что они вас уважают или нет. У них самих контракты такие что обязывают обеспечивать "качество" менеджмента. Качество в кавычках, т.к. я сам не в восторге когда так поступают. Но вот скажем же честно - у нас как у разработчиков есть только вариант отказаться с ними работать. Ведь если вы не согласны, с вами контракт разрывают. Или вы знаете лучше варианты как от этого отказаться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #27

23. Сообщение от Джон Титор (ok), 03-Апр-26, 11:57	+/–
> Вобщем один парнишка сопровождал опенсорс проект, который брали все и микро-софт и морда-книга. И заметим что они его не захотели нанять и не захотели его проект купить, не захотели купить его как НКО. Просто напомню что открытые проекты также являются программным продуктом который можно купить. Да и некоммерческие организации нынче тоже могут купить весьма богатые люди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Артемон (?), 03-Апр-26, 12:12	+2 +/–
Во, во я для таких пайониров с некоторых пор сам сделал программулинку и отсылаю ее алаверды чтобы они ее установили, а я сам к ним подключился. И они сразу сливаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

25. Сообщение от Джон Титор (ok), 03-Апр-26, 12:25	+/–
> Во, во я для таких пайониров с некоторых пор сам сделал программулинку > и отсылаю ее алаверды чтобы они ее установили, а я сам > к ним подключился. И они сразу сливаются. Дело не в портфолио. Сейчас социальная инженерия может работать и не так. Вот вам могут сказать о том что им нужно проверить подключение в вашей стране и качество подключения, т.к. у них есть требования к качеству подключения и вообще им бы хотелось понять, можно ли с вашей страны подключится к их серверам. Наивные люди могут в это поверить. Согласитесь - звучит правдоподобно. А если вы знаете что через месяц заканчивается проект, вы будете без работы и видите в соцсети поиска работы что с работой сейчас сложно - на вас это ещё и давит. Вот я задавался вопросом - правильно ли я тогда поступил? Потому что обстоятельства ещё могут давить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #50

26. Сообщение от 12yoexpert (ok), 03-Апр-26, 12:49	+/–
> фактически каждый пытается что-то поставить на ваш ПК для отслеживания чем вы там занимаетесь или ещё чего? просто не работай на галерах и всё хороших компаний навалом, если ты всё ещё работаешь на дядю за 0.1 рейта
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

27. Сообщение от 12yoexpert (ok), 03-Апр-26, 12:52	+1 +/–
ISO это бессмысленная бюрократическая шиза в нормальных компаниях это понимают, проходят её для галочки (банально от некоторых заказчиков требуют её требовать) и продолжают работать адекватно и продуктивно и да: если ты не видел таких компаний, значит, где-то в этой жизни ты повернул не туда и гребёшь, небось, в каком-нибудь сбербанке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29

29. Сообщение от Джон Титор (ok), 03-Апр-26, 13:02	+/–
Нет, это не для галочки. На западе реально аудит и там реально носятся с этой сертификацией как угорелые, т.к. это весьма дорогое удовольствие для них.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #32

30. Сообщение от Аноним (30), 03-Апр-26, 13:04	+1 +/–
100 млн лефтпадов, еще 200 на подходе; объясните кто нибудь этому про бесконечные установки пакетов в пайплайнах от тех, кто не умеет в кэши и пр. большое количество никогда не означало хорошее качество
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

31. Сообщение от penetrator (?), 03-Апр-26, 13:04	+1 +/–
миллионы мух не могут ошибаться, это понятно мне, да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

32. Сообщение от 12yoexpert (ok), 03-Апр-26, 13:05	–2 +/–
я как раз и пишу из того места, которое твой телевизор называет "Западом", и рассказываю тебе, как оно здесь работает, а ты из Азии мне рассказываешь, как там у нас гораздо дороже заставлять работников страдать, они просто уйдут к нормальному работодателю, коих навалом, и не только в стране пребывания. с копеечными европейскими налогами без разницы, в какой стране заказчик в рф было то же самое, были адекватные конторы, но уже не будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #53

33. Сообщение от Аноним (30), 03-Апр-26, 13:06	–1 +/–
Лол, а неча из себя цел(ованную девуш)ку строить с "я работаю только на своем маке", берешь технику от работодателя и ишачишь, пусть ставит что хочет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #41

35. Сообщение от Аноним (35), 03-Апр-26, 13:53	–1 +/–
> Другой бы остановился подумать, что за мусор ему предлагают скачать "Сопровождающий NPM-пакета" это здесь ключевое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

36. Сообщение от Аноним (35), 03-Апр-26, 13:55	+1 +/–
А машина для установки непойми чего, непойми откуда должна быть третьей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #44

37. Сообщение от Аноним (37), 03-Апр-26, 13:56	–1 +/–
Остальные игроки выжили в русскую рулетку, а ему "просто не повезло". Ну пойдем дальше играть, мы то самые везучие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

38. Сообщение от Аноним (38), 03-Апр-26, 14:06	+/–
Надеюсь что погибнем, и всё для этого сделаю. Первое что станет с монетизированным шлаком - появится немонетизированная ему альтернатива.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

40. Сообщение от Tron is Whistling (?), 03-Апр-26, 14:19	+/–
Бггг, неплохая психологическая атака на типовую ЦА ноды.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

41. Сообщение от пох. (?), 03-Апр-26, 14:21	–1 +/–
> Лол, > а неча из себя цел(ованную девуш)ку строить с "я работаю только на > своем маке", берешь технику от работодателя и ишачишь, пусть ставит что > хочет чтобы взять технику от работодателя - надо для начала пройти интервью... да можешь рот не бежать полоскать, это другое. Я пока еще не видел настолько больных на голову работодателей, чтоб общаться с тобой шв260дкиными технологиями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

44. Сообщение от пох. (?), 03-Апр-26, 14:26	+/–
> А машина для установки непойми чего, непойми откуда должна быть третьей. и так на каждое собеседование по одной. Причем когда-нибудь тебя попросят продемонстрировать свои поделки в процессе - а ты такой ой, а у меня оно вот. Могу камерой подснять экранчик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

45. Сообщение от пох. (?), 03-Апр-26, 14:29	+/–
> Бггг, неплохая психологическая атака на типовую ЦА ноды. хм, как будто ты собеседование не в том же зуме проходил? И скажи еще спасибо что не "хрень-телемост".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #47, #51

46. Сообщение от Diozan (ok), 03-Апр-26, 14:35	+/–
>>MS Teams. В ходе встречи возникли технические трудности, причиной которых назвали отсутствие необходимого дополнения на стороне сопровождающего > А всю сию деятельность нельзя не с рабочей тачки проворачивать? Меня тоже удивило. Я не профессиональный разработчик, но разработка на одном компе, а всякие шуры-муры, сисечки-писечки - строго на другом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

47. Сообщение от Аноним (35), 03-Апр-26, 14:53	+/–
Лучше его проходить в оффлайне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #48

48. Сообщение от пох. (?), 03-Апр-26, 15:07	+1 +/–
Ну могут отпи3дить же! (и пароли отобрать) А если серьезно - это реально п-ц задалбывает. Даже если ты ищешь работу сидя на вэфлвере, а не стесняешься пока огорчить своего начальника близким расставанием. Я наверное не смогу уже метаться даже в пределах города по очередным подвалам в каждом из которых ты проводишь по три часа в лучшем случае, и еще и не один раз если они в тебе хоть как заинтересовались - последний раз я это делал лет 15 назад и это был реально п-ц какой-то, на работе так не устаешь. Спасибо ковиду что больше так уже наверное нигде не работают. А теперь прикинь, бывают люди достаточно полезные окружающим чтобы позволить себе работать не в соседней даже деревушке. Им ради каждого собеседования прыгать в рыбный обоз, закидывать туда котомку с ноутбуком и пару месяцев ехать в соседний райцентр?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

50. Сообщение от пох. (?), 03-Апр-26, 15:11	+/–
> в вашей стране и качество подключения, т.к. у них есть требования > к качеству подключения и вообще им бы хотелось понять, можно ли > с вашей страны подключится к их серверам. Наивные люди могут в это какой-то очень сложный ход. Вероятнее всего даже самый глупый node js автор не поверит в эту разводку. Тем более на ранних этапах собеседования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

51. Сообщение от Tron is Whistling (?), 03-Апр-26, 15:11	+/–
Лол, скажу :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #56

52. Сообщение от Аноним (52), 03-Апр-26, 15:14	+/–
хорошая ковер история, достаточно было ему перевести в биткоинах н-ную сумму.
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Tron is Whistling (?), 03-Апр-26, 15:15	+2 +/–
Реально аудит и реально носятся. Это трындец. Причём не редки случаи, в которых этот аудит реально даёт отрицательный профит - проще выкинуть аудит и послать в задницу клиентов, которые его требуют, набрав менее жирных но в большем масштабе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

54. Сообщение от Tron is Whistling (?), 03-Апр-26, 15:17	+/–
Ну мне вот удобнее работать с 16-ядрёного десктопа с тремя мониторами и 128 гигами рамы, чем с унылого ябблоштото.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #60

56. Сообщение от пох. (?), 03-Апр-26, 15:43	+/–
> Лол, скажу :) У меня половина совещаний в нем (когда надо общаться с недопущенными к внутренним коммуникациям контрагентами). Впрочем, нет худа без добра - оказалось в его видеопоток отлично вставляется запрещенное запрещено. Но... придется завести хрень-id.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

57. Сообщение от Витюшка (?), 03-Апр-26, 15:48	+/–
Ну...догадываюсь что весь свой код от тупо "сдал". Наслушавшись экспертов с opennet об IT-коммунизме. Да, мир работает немного не так как думают соевые IT-коммунисты. Откатили они свободный открытый код на открытый (но на несколько коммитов раньше). И ему не заплатили и не платят не только "проклятые капиталисты", но и "упоротые IT-коммунисты". Да и обычный программист когда за свой любимый vim или что там донатил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

60. Сообщение от пох. (?), 03-Апр-26, 16:10	+/–
> Ну мне вот удобнее работать с 16-ядрёного десктопа с тремя мониторами и > 128 гигами рамы, чем с унылого ябблоштото. ну так пусть работодатель оплатит неунылое яблоштота - mac pro умеет вроде до 128G - правда придется обойтись всего 18 ядрами (для m5 max) - но есть еще 40 внутри видеокарты. Третий монитор придется конечно через лайтнинг подключать, уныло, но что поделать. Не знаю только, тележку для перевозки всего этого можно приобрести прям в эплосторе или надо у китайца заказывать. Вместе с носильщиками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема