The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В NPM выявлено 15 тысяч пакетов для фишинга и спама

26.02.2023 08:24

Зафиксирована атака на пользователей каталога NPM, в результате которой 20 февраля в репозитории NPM было размещено более 15 тысяч пакетов, в README-файлах которых присутствовали ссылки на фишинговые сайты или реферальные ссылки, за переходы по которым выплачиваются отчисления. В ходе анализа в пакетах было выявлено 190 уникальных фишинговых или рекламных ссылок, охватывающих 31 домен.

Имена пакетов выбирались для привлечения интереса обывателей, напирмер, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free" и т.п. Расчёт делался на заполнение спамерскими пакетами списка недавних обновлений на главной странице NPM. В описании к пакетам приводились ссылки, обещавшие бесплатные раздачи, подарки, игровые читы, а также бесплатные услуги по накручиванию подписчиков и лайков в социальных сетях, таких как TikTok и Instagram. Это не первая подобная атака, в декабре в каталогах NuGet, NPM и PyPi была зафиксирована публикация 144 тысяч спамерских пакетов.

Содержимое пакетов было сгенерировано автоматически с использованием python-скрипта, который, видимо, по недосмотру был оставлен в пакетах и включал в себя рабочие учётные данные, использованные в ходе атаки. Пакеты были опубликованы под множеством различных учётных записей с использованием методов, усложняющих распутывание следов и оперативную идентификацию проблемных пакетов.

Кроме мошеннических действий в репозиториях NPM и PyPi также выявлено несколько попыток публикации вредоносных пакетов:

  • В репозитории PyPI найден 451 вредоносный пакет, который маскировался под некоторые популярные библиотеки при помощи тайпсквотинга (назначение похожих имён, отличающихся отдельными символами, например, vper вместо vyper, bitcoinnlib вместо bitcoinlib, ccryptofeed вместо cryptofeed, ccxtt вместо ccxt, cryptocommpare вместо cryptocompare, seleium вместо selenium, pinstaller вместо pyinstaller и т.п.). Пакеты включали обфусцированный код для кражи криптовалюты, который определял наличие идентификаторов криптокошельков в буфере обмена и менял их на кошелёк злоумышленника (предполагается, что при совершении оплаты жертва не заметит, что перенесённый через буфер обмена номер кошелька отличается). Подмену осуществляло встраиваемое в браузер дополнение, которое выполнялось в контексте каждой просматриваемой web-страницы.
  • В репозитории PyPI выявлена серия вредоносных HTTP-библиотек. Вредоносная активность была найдена в 41 пакете, имена которых выбирались с использованием методов тайпсквоттинга и напоминали популярные библиотеки (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 и т.п.). Начинка была стилизована под работающие HTTP-библиотеки или копировала код существующих библиотек, а в описании приводились утверждения о преимуществах и сравнения с легитимными HTTP-библиотеками. Вредоносная активность сводилась либо к загрузке вредоносного ПО на систему, либо к сбору и отправке конфиденциальных данных.
  • В NPM выявлено 16 JavaScript-пакетов (speedte*, trova*, lagra), которые помимо заявленной функциональности (тестирование пропускной способности) также содержали код для майнинга криптовалюты без ведома пользователя.
  • В NPM выявлен 691 вредоносный пакет. Большая часть проблемных пакетов притворялась проектами Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms и т.п.) и включала код для отправки конфиденциальной информации на внешние серверы. Предполагается, разместившие пакеты пытались добиться подстановки собственной зависимости при сборке проектов в Yandex (метод подмены внутренних зависимостей). В репозитории PyPI теми же исследователями найдено 49 пакетов (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp и т.п.) с обфусцированным вредоносным кодом, загружающим и запускающим исполняемый файл с внешнего сервера.


  1. Главная ссылка к новости (https://checkmarx.com/blog/how...)
  2. OpenNews: Выявлена подстановка вредоносной зависимости в ночные сборки PyTorch
  3. OpenNews: Атака на немецкие компании через NPM-пакеты
  4. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  5. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  6. OpenNews: В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58710-npm
Ключевые слова: npm, pypi, mallware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (90) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 09:56, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Теперь есть повод принудительно перевести всех на двух факторную авторизацию.
     
     
  • 2.23, Аноним (23), 12:08, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > В NPM выявлено 15 тысяч пакетов для фишинга и спама

    Это ещё карго не проверяли

     
     
  • 3.36, Odalist (?), 14:18, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так это вы шлете мне спам про увеличение...
     
  • 3.37, Аноним (37), 14:58, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –8 +/
    В крейтс такой фигни нет, npm просто дырявая помойка.
     
  • 2.39, Аноним (39), 15:02, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и добавить везде телеметрию?
     
  • 2.86, EULA (?), 12:42, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Двуфакторную можно обойти виртуальными операторами и такими же симками. А вот трехфакторную (логин/пароль, подтверждение личности через аккредитованный валидатор (типа госуслуг, налоговой или Почты в РФ) или ЭЦП на токене, проверочный код), уже сложнее обойти.
     
     
  • 3.89, Всем Анонимам Аноним (?), 13:39, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Только проблема в том, что типа госуслуг существуют только в несвободных странах.
     
     
  • 4.106, EULA (?), 05:10, 28/02/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Та што ви говорите?
    США - теперь несвободная страна! Там есть GSA и FCIO US.
    Австрия тоже не свободная страна! Там есть Bürgerkarte.
    И Германия несвободная страна! Там же ELENA!

    Федеральный регулятивный орган, подтверждающий ЭЦП граждан США, этодругое?

     
  • 3.108, Аноним (108), 19:35, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Двухфакторная аутентификация -- это не обязательно эсэмэсочка на твой смартфончик.
     
     
  • 4.109, EULA (?), 05:10, 02/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя второй фактор, не токен, то двуфакторка ломается без особых заморочек. Если второй фактор - токен, то или ты получаешь доступ к токену и делаешь его клон, или в УЦ делаешь себе второй сертификат, что в общем тоже вполне реально. А трехфакторку ломать сложнее.
     

  • 1.5, Tron is Whistling (?), 09:57, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Нормально. Своё основное предназначение эти "репозитарии" как раз и выполняют.
     
     
  • 2.55, Илья (??), 23:03, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То ли дело с++.

    Разработчики шарят друг с другом бинари и папочки с миллионами строк кода.

     
     
  • 3.56, Admino (ok), 00:33, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Разработчики шарят друг с другом бинари и папочки с миллионами строк кода.

    Откройте для себя git, что ли, "разработчики".

     
     
  • 4.111, Илья (??), 09:51, 05/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Разработчики шарят друг с другом бинари и папочки с миллионами строк кода.
    > Откройте для себя git, что ли, "разработчики".

    Хорошо, разработчики сипипи шарят друг с другом бинари и папочки с миллионами строк кода через гит

     
  • 3.60, Аноним (60), 01:50, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть Conan или Meson если отсылка к менеджеру зависимостей.
    Тут дело не в самом менеджере, а в демонстрационном стандартном по умолчанию (рекламном) магазине^W реестре бесплатных никому не нужных пакетов.
     
  • 3.90, Tron is Whistling (?), 15:19, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То ли дело C++. Разработчики шарят.

    Fixed

     
     
  • 4.110, Аноним (110), 09:46, 05/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Fixed

    15 сипипи программистов на протяжении шести лет не могли справиться с банковским сервером.

    Не буду вдаваться в подробности, просто люди за место того, чтобы деньги считать, боролись с мельницами.

    Мы от их услуг отказались в пользу небольшой команды дотнетчиков.

     

  • 1.6, Аноним (6), 10:13, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а потом заголовки:
    в OpenSource стало больше вирусов на 146%
     
     
  • 2.68, Tron is Whistling (?), 09:20, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пора бы уже вот это всё из opensource переименовать в chaosource.
     
     
  • 3.70, Аноним (6), 09:35, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё что связано с Web - по умолчанию разброд и шатания. Даже если бы было это проприетарным и пилилось под одно, всё равно бы не смогли такую помойку причесать
     

  • 1.7, Dzen Python (ok), 10:51, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Хы. Интересно, как скоро все в том же NPM скатится до тоталитарного "чтобы заапрувить пакет, пришлите фото, фото паспорта, фото с флажком в  заду, пруфы что разраб, пруфы на пруфы что разраб, полный разбор кода...ой, вы используете регекспы и минификацию? Наш штатный уругваец с рабочей визой не умеет в регекспы - динайд! Ой, наша девочка-мальчик с вертолётным гендером не умеет читать минифицированный код - динайд!" Ой, вы используете свой сервер, пусть и 100% чистый? Ниггер Джо тебе не верит и ставит денайд.
     
     
  • 2.9, Аноним (9), 11:12, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +11 +/
    В apple store примерно так и есть и все довольны. Только ещё нужно 100$ в год платить
     
     
  • 3.12, Аноним (12), 11:26, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так у эпл ещё и очередь из желающих 100$ заплатить.  
     
     
  • 4.50, Аноним (50), 20:54, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Нету очередей - я проверял. Деньги принимают быстро, безо всяких очередей :)
     
     
  • 5.76, Аноним (76), 11:56, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты просто не из РФ.
     
     
  • 6.87, EULA (?), 12:44, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В РФ к желающим уже дамой представители компании ходят и меняют наличные на доступ к сервису.
     
  • 3.18, Бывалый смузихлёб (?), 11:48, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там раз на раз не приходится. Порой проходит десяток релизов прежде, чем кто-то заметит что что-то не так и придержит релиз из-за штуки, которая не менялась уже с десяток выпусков
    Но довольны весьма условно. Если бы не требовалось следовать гайдлайнам то всё было бы гораздо проще
     
     
  • 4.20, annonn (?), 11:58, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хм... мне казалось, что гайдлайны сделаны как раз для того чтобы им следовать)

    по личному опыту - если в репе нет договора о том как писать и оформлять комитты (а еще лучше кастомно настроенного линтера) - то прихдишь туда как на помойку или квартиру после вписки.
    куча немытой посуды, по углам везде нагажено...

     
     
  • 5.35, Бывалый смузихлёб (?), 14:16, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не всегда. Вот хочется пасанам приложения, а бюджет кончился. Но мобильная веб-версия есть, но она не заточена под яблоко..

    Поэтому на выходе и получаются парадоксы, когда делают один дизайн - и тот под яблоко - и на основе него делают приложение и под андройд которому вообще плевать какие там стили

     
     
  • 6.44, 11 (?), 16:01, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    проблема робов андроидных. Разве нет?
     
     
  • 7.107, Бывалый смузихлёб (?), 08:50, 28/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    они относятся к андройду который относится к гуглу и алфавиту
    Конторы такого масштаба вообще вертели чьи-то там хотелки ведь сами навязывают свои
     
  • 5.57, Аноним (57), 00:47, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > если в репе нет договора о том как писать и оформлять комитты (а еще лучше кастомно настроенного линтера) - то прихдишь туда как на помойку или квартиру после вписки.

    Как же диды без линтеров код писали, прям удивительно!


    ...А, ну да. Тyпых в отрасли тогда почти не было.

     
     
  • 6.67, Аноним (67), 09:00, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сюрприз: линтеры были. http://tack.sourceforge.net/olddocs/lint.pdf - 1988 год.
     
  • 2.10, Аноним (9), 11:13, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >чтобы заапрувить пакет, пришлите фото, фото паспорта, ..., пруфы что разраб

    Но ведь так и надо

     
  • 2.11, annonn (?), 11:17, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –10 +/
    И? Что ты сделаешь? Поплачешь?

    Не нравится нпм - распространяй свой код хоть просто текстовыми файлами, хоть почтовыми голубями.
    Более того NPM опенсорсный - можешь переписать на другой язык, добавить/убрать фич и сделать свой менеджер пакетов с преферансом и куртизанками.

    Можешь даже написать в правилах пользования, что принимаешь любой код, от любого источника хоть от игила, хоть от северной кореи. Главное чтобы было скрепно без всяких вертолетных гендеров.

     
     
  • 3.13, Аноним (12), 11:28, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Как тебе такая свежая идея не пользоваться node.js? Не приходила такая в голову?
     
     
  • 4.14, annonn (?), 11:32, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно приходила, но если ты делаешь это по работе... то у тебя из вариантов - сменить работу)
    Далеко не все настолько принципиальные или упоротые, чтобы так поступать.
     
  • 4.19, Бывалый смузихлёб (?), 11:50, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не использовать ноду там где она уже используется ?)
    Тем более, что речь о её пакетном менеджере и совершенно конкретном хостинге пакетов. Ничто не мешает пакеты хоть с гитхаба ставить, хоть вообще с локальных хранилищ
     
     
  • 5.30, ChatGPT (?), 12:53, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да, только там нельзя просто так взять, один пакет обновить, а другой оставить. всё завязано на версии ноды, и на друг друга. придется обновлять регулярно всё, а если не обновишь всё, то и сделать ничего не сможешь
     
     
  • 6.34, Бывалый смузихлёб (?), 14:13, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А зачем обновлять то что и так работает ?
    В итоге оно гарантировано сломается с кучей неведомых ошибок

     
     
  • 7.77, Аноним (76), 11:57, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем не обновлять? Что майнер который ты уже затянул так и остался у тебя навсегда?
     
     
  • 8.94, Аноним (94), 18:49, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Один уберут, три новых затянут ... текст свёрнут, показать
     
  • 6.47, Аноним (47), 18:15, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лжёшь. Всё можно. Если не хочешь, чтобы npm за тебя зависимости разруливал, есть все механизмы для того, чтобы это делать вручную. Если бы ты на ноде программировал, то знал бы. Но тебе ж в комментариях поверещать.
     
  • 4.42, Аноним (37), 15:40, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бред. Зачем себя ограничивать исходя из ЯП?
     
  • 3.51, Вы забыли заполнить поле Name (?), 21:48, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Выдыхай. Проблема как бы не в npm, а в том, что разрабы^W макаки ставят не разбираясь в зависимости всякую дрянь, да еще и разрешают автоматически подтягивать минор и патч версии (хотя тут уже небезопасное поведение npm во всей красе).
     
     
  • 4.53, Аноним (53), 22:02, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как надо? У npm очень много лет есть package-lock
     
  • 2.16, YetAnotherOnanym (ok), 11:35, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > пруфы на пруфы что разраб

    Пруф на пруф называется "апостиль".

     
  • 2.26, Аноним (26), 12:44, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так за всё перечисленное и надо дрюкать. Зачем ты делаешь минификацию в опен-сорс проекте? Чтобы усложнить понимание? Свой сервер может банально перестать оплачиваться, нафига нужен скрипт, который в любой момент может отыквиться?
     
     
  • 3.49, Аноним (53), 18:50, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там исходный код может быть вообще не на js. Может оно на kotlin или dart написано, а в js транспилировано.
    Как например https://www.npmjs.com/package/sass
     
  • 2.38, Аноним (37), 14:59, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Кто о чем, а гендерфлюид о флажках в заду.
     
  • 2.66, AKTEON (?), 08:43, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вы не апрувьте.
     

  • 1.8, Аноним (9), 11:07, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в crate? А в maven?
    Правда в maven тайпсквотинг не сделаешь
     
  • 1.15, YetAnotherOnanym (ok), 11:33, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда такого не было...
    > Содержимое пакетов было сгенерировано автоматически с использованием python-скрипта, который видимо по недосмотру был оставлен в пакетах и включал в себе рабочие учётные данные, использованные в ходе атаки

    Больше на троллинг похоже. "Ваш жабпаскрипт даже для автоматической генерации readme'шек со ссылками  не годится". Ну, и креденшиалзы нате вам, мы себе новые нарисуем.

     
     
  • 2.22, Аноним (22), 12:08, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще в плане обработки/генерации файлов жс дно, тут ничего странного, в качестве общесистемного языка питон куда лучше.
     
     
  • 3.25, Аноним (25), 12:31, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в качестве общесистемного языка питон

    а также в любом другом качестве совершенно не нужен.

     
     
  • 4.29, Аноним (22), 12:53, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, редхат вон вроде пытался рубятину пропихнуть на эту роль, но чёт она стухла сразу как питон 3 с нормальным юникодом появился. А что ты хотел бы видеть, posix shell? В таком случае флаг тебе в руки, но ты ничего не напишешь.
     
     
  • 5.63, Аноним (63), 06:52, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для скриптов пойдет. Но его пытаются Python-хать везде, где он выглядит просто наивно.
     
     
  • 6.79, YetAnotherOnanym (ok), 12:17, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Многие пользователи скриптовых языков забывают, что основное назначение скриптового языка - вызывать нативный код. Либо вызывать бинарники, либо дёргать функции в либах.
     
  • 2.62, Аноним (62), 05:54, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >который видимо по недосмотру был оставлен в пакетах и включал в себе рабочие учётные данные, использованные в ходе атаки.

    Какие языки, такие и хакеры.

     

  • 1.17, Аноним (17), 11:43, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Так и запишем: девелоперы javascript не могут придумать скрипт, который зарубал бы пакеты с явными признаками мимикрии под существующие.
    При том что задача даже не для студента, а для старшекласника (проверить все замены i->l->1, o->0, букву на двойную, потерю двойной буквы и т.п.)
     
     
  • 2.91, Вы забыли заполнить поле Name (?), 15:42, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да просто нужно разрешить только имена пакетов с префиксом учетной записи и все. Сейчас так уже можно, но это не обязательно. А все нормальные имена без префиксов уже заняли.
     

  • 1.21, КО (?), 12:00, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Наплодила NVIDIA свои AI для впаривания видеокарт, вот и поставьте его на предмодерацию кода чтоб в случае чего потом человек посмотрел и штампанул годен/нет.
     
  • 1.27, Аноним (26), 12:47, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > или реферальные ссылки, за переходы по которым выплачиваются отчисления

    А тут в чём проблема? Если обмана нет, то автор имеет право. Его продукт, его реклама.

     
     
  • 2.40, Аноним (40), 15:07, 26/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это если автор нормального пакета, а не спам ради ссылки.
     

  • 1.41, Аноним (41), 15:18, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > ссылки, обещавшие бесплатные раздачи, подарки, игровые читы, а также бесплатные услуги

    И тут же щелчок в мозгу жертвы: "А почему бы и нет?"

     
  • 1.45, Аноним (45), 17:08, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Имена пакетов выбирались для привлечения интереса обывателей
    > на главной странице NPM

    Хотел зайти на тик-ток, а зашёл на нпм?

     
     
  • 2.103, Аноним (103), 23:28, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да. И случайно стал фулстекером :))
     

  • 1.54, Аноним (54), 22:34, 26/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто тут в этом npm шарит - они уже научились подписывать пакеты, или по прежнему принимают в репы всякий шлак?
     
     
  • 2.72, Аноним (72), 10:53, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А как это гарантирует отсутствие злого кода в пакете?
     
     
  • 3.73, ленин гриб и волна (?), 10:57, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отсутствие злого когда гарантирует только жёсткая диктатура с угрозой расправы за нарушения. дальше - сами понимаете.. либо проходной двор, либо диктатура. - что выберете? в конечном счёте, каждый должен делать себе свой собственный островок безопасности, в котором будет всё держать под личным надзором. и это не про js и не про rust. и вообще, лучше свой личный ЯП сделать.
     
     
  • 4.81, YetAnotherOnanym (ok), 12:24, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > либо проходной двор, либо диктатура. - что выберете?

    Хех, ты решил пожонглировать понятиями перед анонимами опеннета?
    Триггериться на слово "диктатура" - это удел школоты, которая воюет с мамой за право ложиться спать, не почистив зубы.

     

  • 1.61, Аноним (67), 02:32, 27/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В NPM выявлено 15 тысяч пакетов для фишинга и спама

    Но они же опенсорсные, в чем проблема?

     
     
  • 2.64, Аноним (63), 06:55, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что такого? Лицензия не запрещает.
     
  • 2.75, Аноним (76), 11:39, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обфусцированный в твоей реальности тоже опенсорсный?
     
     
  • 3.82, Аноним (67), 12:25, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В свое время Red Hat тоже свои патчи обфусцировала (https://www.opennet.me/opennews/art.shtml?num=29743 пруфом), но опенсорсом быть не перестала: сорцы для покупателей предоставляются, а что в них просто так не разобраться - ну так никто и не говорил что будет легко.
     
     
  • 4.84, Аноним (76), 12:27, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дядюшка Столлман и лицензия GNU GPL такого не одобряет.  
     
     
  • 5.85, Аноним (67), 12:42, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Да как-то nobody cares. Пока так называемое сообщество паразитирует на наработках корпораций (достаточно сравнить кто больше коммитит в ядро, либрофис и прочие востребованные вещи) - именно корпорации будут решать где тут что куда и как. При этом полностью игноря истерические визги со словами, за которые тут трут комменты, ага.
     
     
  • 6.97, Аноним (97), 18:55, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > паразитирует на наработках корпораций

    Бедные корпорации, работают за спасибо... Никто им не платит... Хоть бы задонатили им...

     
     
  • 7.104, Аноним (67), 01:39, 28/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не переживай, раз они процентов 90 всего опенсорса пишут - значит есть у них способы отбить затраты на содержание всяких крикунов про так называемую свободку. Хотя той же мозилле можешь и задонатить вдобавок к твоим персональным данным, которыми она спокойно торгует.
     

  • 1.65, Аноним (63), 07:04, 27/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это насколько надо быть некомпетентным и не разбираться в языке программирования, чтобы использовать в проекте вредоносные оперсорсные (!) модули, даже не понимая, что они делают. Или язык настолько кривой, что разобраться невозможно...
     
     
  • 2.69, Tron is Whistling (?), 09:32, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Комбо!
     
  • 2.88, Аноним (88), 13:08, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > быть некомпетентным и не разбираться в языке программирования

    именно такие и придумывают расты и Ко.

     
  • 2.95, Аноним (94), 18:51, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На школьников и домохозяек ориентировано.
    Увидят название своей любимой игрульки - и мозг теряют
     

  • 1.71, Аноним (71), 10:27, 27/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то как-то мало.
     
  • 1.93, Аноним (93), 17:18, 27/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое то для import-кодеров.
     
     
  • 2.96, Аноним (97), 18:53, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Слава велосипедам и школьным ошибкам
     
  • 2.99, Аноним (88), 20:21, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > для import-кодеров

    для импорастов

     

  • 1.98, kusb (?), 19:55, 27/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я думал пакеты фишинга и спама это библиотеки и т.п. которые помогают фишерам и спамерам в их нелёгком деле. Готовые пауки, спамботы.
     
     
  • 2.101, Аноним (101), 21:34, 27/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Те люди написали Linux и Unix и всё вокруг них. А эти - JS шелуха.
     

  • 1.100, Аноним (101), 21:33, 27/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > который, видимо, по недосмотру был оставлен в пакетах и включал в себя рабочие учётные данные

    Годно. Спешка - причина бедности.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру