| 1.2, Аноним (2), 13:57, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
> пытаются запустить исполняемые файлы bd.exe, dropper.exe и lib.exe
Под вайном работает? И кстати, зачем это на опеннете? Я конечно понимаю что тема dll/exe актуальна для почти всех посетителей сайта, но вроде его тематика слегка о другом.
| | |
| |
| |
| |
| Часть нити удалена модератором |
| 4.24, Аноним (24), 15:21, 10/11/2020 [ответить]
| +5 +/– |
А тебе не впадлу с бедными общаться? Шёл бы уж к своим.
| | |
| |
| 5.26, Аноним (26), 15:32, 10/11/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Да он-то как раз среди своих: в комментах сплошное троллоло и школоло. И не убеждайте меня, что это не результат удаленки и досрочных каникул в школах
| | |
| 5.33, Michael Shigorin (ok), 15:49, 10/11/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > А тебе не впадлу с бедными общаться? Шёл бы уж к своим.
"...и пошла Василиса Прекрасная
туда,
куда Василиса Премудрая не осмелилась бы..."
(ц)
| | |
|
|
| 3.42, jOKer (ok), 17:53, 10/11/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
 Ну зачем же вы так жестко опуск... гм... смущаете тех, у кого нет ни денег на Яблоко, ни мозгов для дружбы с Пингвином? Добрее надо быть, добрее. Добрее и толерантнее. Они и так уже судьбой обижены, - понимать надо.
| | |
| |
| 4.58, Аноним (2), 20:57, 10/11/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Тебе надо - ты их и понимай. Да и огрызок-то всего-лишь в 2 раза дороже. А иногда - даже дешевле.
| | |
|
|
| 2.71, anonymous (??), 10:31, 11/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
А что, открытый/свободный софт не может собираться и работать в проприетарщине?
| | |
|
| 1.3, InuYasha (??), 13:58, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +13 +/– |
Новость можно добавить в crontab, приписав в заголовок слово "очередной". :)
| | |
| |
| 2.79, Аноним (79), 00:35, 12/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Мне непонятно, нафига вообще такие новости и кого они волнуют. Ладно бы какой-нибудь популярный пакет затроянили, а такое... неужели до сих пор непонятно, что нпм немодерируемый, туда кто угодно может залить что угодно?
С таким же успехом можно каждый час писать новости типа «на мегааплоад залили троян».
| | |
|
| |
| 2.32, Dzen Python (ok), 15:48, 10/11/2020 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Технология не есть зло.
Софт, овеществливающий технологию не есть зло.
Сторонние данные, которыми оперирует софт не есть зло.
Разрабы, позволяющие людям заливать свои наработки без анальных допросов не есть зло.
Гнилая сущность человека, воюющего со всем миром ради кусочка ресурсов, и готовая ради этого отравить общий колодец, общий котел с данными - зло.
| | |
| |
| 3.41, Михрютка (ok), 17:10, 10/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 а правила грамматики, требующая согласования причастных - вообще абсолютное зло.
| | |
| |
| 4.68, Аноним (68), 09:52, 11/11/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Как помочь несчастным:
1. Делаешь ошибку в тексте.
2. Люди радуются, что они умнее тебя, на минуту забывают, что их жизнь говно.
3. Улыбаешься.
| | |
|
| 3.83, зло (?), 16:27, 12/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>you don't have to fire your it department, you can fire the internet
Отличная апология saas-убожеств
| | |
| 3.85, СССР (?), 23:20, 12/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
создать технологию через которую пользователи хапают какашки
потом сказать что зло это не технология а человек
тем кто успел на эту какашку наступить уже все ровно что есть зло. просто сделает выводы и задумается что такое хайповые технологии а что такоео проверенные технологии.
| | |
|
|
| |
| 2.13, Аноним (13), 14:29, 10/11/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Пока существует npm в нынешнем виде. Еще неизвестно сколько ты оттуда уже вытянул троянов, но не знаешь об этом.
| | |
| |
| 3.15, Аноним (15), 14:41, 10/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Какие есть альтернативы и решения лучше?
Проблема зависимостей зависимостей ни кем не решена.
Да и вообще всё что сказано про npm также относится и к pip, autoconf, crate.
Разве что в C++ чтобы что-то поставить можно потратить пару часов. Но это такая себе защита.
| | |
| |
| 4.17, Аноним (13), 14:47, 10/11/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
Эпл стор. Точно такие же дополнения для телефона как и дополнения для джаваскрипт. Только в эпл сторе почему-то нет троянов которые прикидываются дллками для других приложений.
| | |
| |
| 5.23, НяшМяш (ok), 15:21, 10/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 В принципе 100$ это хорошая плата за входной билет. Всех кто не заплатил - удалять. /s
| | |
| 5.60, Урри (ok), 00:32, 11/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ага, конечно, прям щас.
Лично я впихивал в апликуху таймаут на запрещенный показ сторонней рекламы в две недели, чтобы пройти ревью эплстора (каюсь, был молод и сильно нужны были деньги). С ревьюверами тоже неплохо познакомился - эти тупые копеечные индусы вообще ни на что не способны, кроме как ходить по инструкции. Один из них, например, докопался до юмористичного "яблоки" и "бабаны" в одной из форм (вы не можете использовать ничего что напоминало бы торговые марки эпла), но пропустил забытую не отключенную телеметрию о всей айоси.
| | |
| |
| 6.69, Аноним (68), 09:56, 11/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Даже индус действующей по инструкции (а по чему же ему еще действовать) способен выявить тайпсквоттинг.
| | |
|
|
| 4.29, Dzen Python (ok), 15:41, 10/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Построение репозиториев лунтикса, где у каждого пакета есть как минимум ответственный доверенный сопровождающий (известный по своему реальному ФИО и с которым можно в любое время связаться) и минимальное тестирование (аур и другие помойки - не в счет, хотя даже там есть понятие как TU)?
| | |
| 4.44, Аноним (84), 18:02, 10/11/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> всё что сказано про npm также относится и к pip, autoconf, crate.
autoconf-то каким боком? Он ниоткуда зависимости не выкачивает. И вообще ничего не выкачивает.
| | |
| |
| 5.62, Аноним (15), 02:51, 11/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
autoconf имеет полноценный язык программирования m4 внутри.
Вы запускаете сборку и процесс имеет полные права на ваш $HOME, откуда можно что угодно стянуть как и в сабже.
Как бы вообще понимаете что сборка проекта ничего плохого не делает? Проверяете огромные портянки билд скриптов?
Разница сабжа и проекта с autoconf (такая же библиотека, которая обещает discord) - в npm можно сделать одной командой. Других отличий нет.
| | |
| |
| 6.76, Аноним (84), 18:58, 11/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Разница в том, что ты запускаешь только код из проекта, разработчикам которого доверяешь. Если не доверяешь, на фига тебе вообще это собирать? Ты ведь полученный бинарь запускать собрался, небось? Точно так же и он сам может оказаться трояном.
В случае npm без спроса выполняется код, получаемый по огромному и не поддающемуся контролю дереву зависимостей, написанный разными разработчиками, установить личности которых зачастую не представляется возможным.
И, кстати, если ты не гентушник или слакварщик, сборка обычно происходит не на рабочей системе, а в изолированном одноразовом окружении (в chroot, контейнере, виртуалке). Но это уже второстепенно.
| | |
|
|
| 4.47, YetAnotherOnanym (ok), 18:42, 10/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Проблема зависимостей зависимостей ни кем не решена
Решена теми, кто хочет решать. Если установщик допускает прибитие гвоздями верифицированной версии (как это есть, например, в rebar), то разраб может проверить работоспособность и отсутствие бяк в определённых версиях зависимостей и прописать в конфиге установщика версию и её хэш для каждой зависимости.
| | |
| |
| 5.54, Аноним (25), 19:34, 10/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Если установщик допускает прибитие гвоздями верифицированной версии
В npm так и есть, но новость о другом.
| | |
| |
| 6.70, YetAnotherOnanym (ok), 10:00, 11/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> В npm так и есть
Тогда это всё напоминает анекдот: девушку с плоской грудью спрашивают "Сиськи есть?" - "Есть" - "А чё не носишь?".
| | |
| |
| 7.74, Аноним (25), 17:09, 11/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
У тебя какая-то каша в голове. Бери и фиксируй версию пакета в package.json, причем тут твой поток мыслей то?
| | |
| 7.78, Аноним (77), 19:14, 11/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А разве номера версий не прописываются в package-lock.json чтобы последующие npm install устанавливали ту же самую версию?
| | |
| |
| 8.82, Аноним (25), 14:40, 12/11/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Так и есть, просто YetAnotherOnanym пытается спорить о том, в чем не разбирается... текст свёрнут, показать | | |
|
|
|
| |
| 6.67, YetAnotherOnanym (ok), 09:45, 11/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Т.е. тоже самое, что и в npm?
По-видимому, не совсем то же самое, если npm регулярно оскандаливается, в отличие от, например hex.pm.
| | |
|
|
| 4.86, СССР (?), 23:24, 12/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
от 2 мин до пару часов. Если библиотеках без заморочек то пару мин. в чем проблема?
| | |
|
|
|
| 1.8, ryoken (ok), 14:09, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >> Передавались файлы профиля пользователя и БД в формате leveldb
Следовательно, раздуть сей файлик до невменяемых размеров, пущай радуются, "злоумышленники" :D.
NPM как-то тут гнездо уже свил :).
| | |
| 1.9, Lex (??), 14:11, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот это эпик. Даже не эпик, это уже что-то легендарное :))
NPM пакет с расширением dll ! :)
Судя по тому, что за полгода его скачали порядка 100 раз, это надо еще очень умудриться подобное написать при установке пакета( npm install discord.dll )
Хотя, даже не знаю, что больше удивляет - вышенаписанное или то, что был еще пакет discord.app, который:
Аналогично предполагалось качать с NPM ( npm install discord.app ) +
Судя по расширению, это закос под приложение для ЯБЛОКА +
Но пытается запустить (!) виндовый исполняемый файл bd.exe, которого, притом, нет.
| | |
| |
| 2.12, Аноним (13), 14:28, 10/11/2020 [^] [^^] [^^^] [ответить]
| +9 +/– |
Может он точно знал кому закинуть трояна. Посоцинженерил, а на то что его скачает кто-то другой он не рассчитывал.
| | |
|
| |
| 2.19, Аноним (13), 14:49, 10/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
Что-то никто не кричит про памятебезопасность и что порвем раст. А тут вон оно как памятебезопасность это не все.
| | |
| 2.63, Аноним (63), 04:04, 11/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Во вредоносном репозитории выявлен пакет.
В пакете - утка, а в утке яйцо зайца.
| | |
|
| 1.21, Аноним (21), 14:56, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> был загружен лишь около 100 раз
скорее уж был загружен _целых_ 100 раз, учитывая название пакета
| | |
| |
| 2.37, Аноним (37), 16:54, 10/11/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Раньше, чем в pypi. В pypi ведь каждый пакет проверяется вручную, а если что нечисто - автора пакета сразу полиции сдают, ведь там пакет можно только по паспорту залить.
| | |
| |
| |
| 4.46, Аноним (84), 18:08, 10/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> вирсописателям
Тебя дрвеб покусал? Нет такого слова в русском языке.
| | |
|
|
|
| 1.59, Kuromi (ok), 23:21, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 "Передавались файлы профиля пользователя и БД в формате leveldb из каталогов браузеров на базе движка Chromium (Chrome, Opera, Yandex Browser, Brave)"
Даже и не знаю, радоваться тому что файлы из Firefox не передавались или печалиться? Ну знаете, Неуловимый Джо которыйникому не нужен.
| | |
| 1.87, Аноним (87), 13:50, 17/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Читаешь такую "новость" и думаешь, а не автор ли пакета пишет её?
Ну а как бы еще кто-то узнал, что есть сильно овиндованный пакет, запускающий какие-то exe файлы, который имеет аж 100 скачиваний?
| | |
|
