Администраторы репозитория NPM по ошибке заблокировали пакет Stylus, распознав в нём несуществующее вредоносное ПО. Через 12 часов после отправки жалобы в NPM проблема была отмечена как не соответствующая действительности, объявление о наличии вредоносного ПО было отозвано, а пакет восстановлен в репозитории...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63635

• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,нейм, 10:27 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 11:36 , 27-Июл-25
    • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним324, 12:47 , 27-Июл-25
      • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Tron is Whistling, 23:55 , 27-Июл-25
      • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Tron is Whistling, 23:58 , 27-Июл-25
    • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним324, 12:47 , 27-Июл-25
    • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 13:31 , 27-Июл-25
      • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 13:58 , 27-Июл-25
        • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 16:34 , 27-Июл-25
    • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 13:59 , 27-Июл-25
      • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 19:21 , 27-Июл-25
        • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,scriptkiddis, 21:57 , 27-Июл-25
    • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 14:27 , 27-Июл-25
    • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Анон1110м, 21:11 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним324, 12:46 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,ИмяХ, 21:09 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 11:54 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 14:05 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,1, 12:03 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 12:17 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,1, 12:34 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,morphe, 17:28 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 12:26 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 13:20 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 13:56 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 14:09 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 14:18 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 13:56 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 15:08 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Tron is Whistling, 16:09 , 27-Июл-25
  • NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 16:20 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 16:18 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 17:57 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Саркофандр, 19:35 , 27-Июл-25
• NPM-пакет Stylus был по ошибке заблокирован из-за подозрений...,Аноним, 20:12 , 27-Июл-25

js опять оказался дырявым
атомарность пакетов решена реновейт ботами, чьи МРы вслепую аппрувятся (а может и вообще сразу в мастер едут)

Более днищенской вариации среды для разработки ПО надо постараться найти

Ява? Го? Раст? Питон? Оно всё одинаково днищeнcкoe, потому что вместо инженеров командуют yгaшенные индycы и coeвые кyкoлды.

> что вместо инженеров командуют yгaшенные индycы и coeвые кyкoлды

Ты то инженер? Или кто? Кто эти воображаемые инженеры в айти? Их тут никогда не существовало.

Я не воображаемый, а вполне реальный.
Сейчас очень часто вместо инженеров встречаются "архитекторы", которые в реализации ни ухом ни рылом, но в целом большинство реальных архитекторов - именно инженеры.

В чём отличие? В том, что инженер, который архитектор, может и продукт/проект нарисовать, и в одно рыло весь проект снизу доверху запилить самостоятельно - только займёт это достаточно много времени, поэтому конечно один в поле всё равно не воин.

> что вместо инженеров командуют yгaшенные индycы и coeвые кyкoлды

Ты то инженер? Или кто? Кто эти воображаемые инженеры в айти? Их тут никогда не существовало.

А на чём тогда? Если не на раст.

один раз - не питонраст

Что-то вы подозрительный, на всякий случай на вас донос напишем.

> стыдно цитировать!

Махровый шовинизм в оскорбительной форме на данном сайте! Прошу удалить!

Нет, не коем случаи! Как же свобода слова?!

Тут ее нет

Потом вЫ же распространите ссылку на это оскорбление на русскоязычном сайте? Грубо работаете, провокатор!

PS: Почему то модерация оперативно отреагировала на мое предположение в другом вопросе, а здесь рискует стать пособницей провокации ))  

Программисты не инженеры.

> Более днищенской вариации среды для разработки ПО надо постараться найти

Тем времене Си со своими косяками просто существует веками, а он говорит что более днищенской среды не найти.

Дырявое тут только законодательство, которое не запретило преступнику пользоваться компьютерами.

> Мотивы действий разработчика "panya" не ясны, предполагается, что он мог проводить исследования, связанные с безопасностью.

"мотивы ограбления не ясны. предположительно, грабитель проводил исследования, связанные с деньгами."

1. Об исследованиях надо предупреждать
2. Учетку могли угнать и автор её давно забросил
3. блокировать другой проект. к которому он причастен, с учётом контроля Других участников, и без аудита этого пакета, который блокируют автоматически - не логично. Или авторы систему советов и администрация не верит миллиону глаз, в любви к которым признается в каждом письме?

Товарищи аминистраторы репозитория NPM, произошла чудовищная ошибка!

Как от этого спасаться? package-lock.json?

Если у вас что-то важное, то поднимите свое зеркало пакетов, которые используются в вашем проекте. На зеркале включите сканеры безопасности. Создайте регламенты обновления, следите за изменениями и контролируйте каждую модификацию в package-lock.json. Это будет дорого. Поэтому если ни чего важного нет, то просто расслабьтесь.

Deno позволяет точечно регулировать права

Разрешить дёргать лишь определённые команды/пускать только в определённые директории на диске/подключаться к заданному списку доменных имён

Удивительное королевство. Не вредоносные банить, вредоносные не банить.

Мы словили эту проблему через зависимости nx.

Добавили оверайд в package.json на гитхаб.

Держу в курсе.

> привело к массовыми сбоям в сборочных системах

тренировка прошла успешно

Апокалипсис продемонстрирован. ))

Может это сопровождающие солидарно демонстрируют свою власть в ответ на скрип с 10$ им за сопровождение в соответствие с инициативой Maintenance Fee? ))

Похоже надо бежать с СПО...

С js'а

После NPM в новости или как там его ещё этого, у питона, сразу понятно, что произошла какая-то феерическая фигня. Судьба у этих репозитариев такая.

Надо переходить на платные репозитории от надёжного производителя софта. Никакой частник никогда не должен вносить никакого вклада в экосистему.

Почему я ору?

Durilka? Как это может быть вредоносным пакетом?

Ну уж лучше так, чем если бы там на самом деле вредонос был и его бы не сразу удалили.

Какой-то васянство... Никто не будет качать себе с репозиториев, поэтому что там сомнительные личности выкладывает сомнительный софт.
А собирать это уже красноглазие и пердолинг с консолью в обнимку с бубеном.
Вот по этому и 4 процента дисктопа у Линукс.