URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137769
[ Назад ]
Исходное сообщение
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю"
Отправлено opennews , 09-Сен-25 08:58 
В результате фишинга атакующим удалось перехватить учётные данные сопровождающих 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный код. Это самая крупная атака на репозиторий NPM, которая затрагивает не только напрямую атакованные проекты, но сотни тысяч пакетов, зависимых от них...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63845

Содержание
Сообщения в этом обсуждении
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 08:58 
Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:06 
Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:20 
Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 13:01 
> Профессионалам-то точно можно верить.

Как экспертам в студии (на опеннете) :)

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено pic , 09-Сен-25 16:56 
А вы уверены, что они не боты?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 10:06 
Это письмо от раст фаундейшн?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено pic , 09-Сен-25 16:55 
Ну чё ты такой простой, установи Касперский :) и будет тебе эвристический анализ
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено пох. , 09-Сен-25 18:50 
теперь мой пароль знает еще и касперский... а, впрочем... он его наверное и так знает

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:04 
Никогда такого не было и вот опять))
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:05 
Новость прлаётся так как будто это какая-то неожиданность.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 16:03 
Эта новость для того, чтобы люди перепроверили, нет ли у них скомпрометированной версии пакета. Ожидаемо или неожиданно, но предупреждение нужное.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Tron is Whistling , 09-Сен-25 09:10 
Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:12 
Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено AleksK , 09-Сен-25 09:17 
Я ставлю отсюда

https://download.etersoft.ru

И да это совсем другое.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:25 
Спасибо за ссылку, конечно. Но его там нет.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено AleksK , 09-Сен-25 09:36 
> Спасибо за ссылку, конечно. Но его там нет.

Кого нет?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 10:26 
Здравого смысла.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 13:03 
Черного кота в черной комнате найти можно, достаточно сказать "кыссс-кыссс" :)
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 18:23 
Не все коты откликаются, когда их зовут. Особенно, если они глухие.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 11:06 
> И да это совсем другое.

И в чем отличия?

Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено AleksK , 09-Сен-25 12:06 
> И в чем отличия?

Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.

> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?

NPM принадлежит Microsoft. Это другое?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:14 
Сколько у них юзеров?
А сколько юзеров у нпм, гитхаба или гитлаба.

Будет ли об этом писать зарубежные ресурсы (спойлер: нет).
Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию?

Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
libux kernel был взломан 2 года.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено AleksK , 09-Сен-25 12:34 
> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
> libux kernel был взломан 2 года.

Кто? Что за libux kernel?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 13:05 
> Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.

Так я ни разу не видел новости, чтобы взломали репы Debian или Ubuntu. Но ты почему-то решил приплести сюда эту НЁХ.

>> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
> NPM принадлежит Microsoft. Это другое?

Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено AleksK , 09-Сен-25 13:35 
> Но ты почему-то решил приплести сюда эту НЁХ.

Ясно-понятно, в голове твоей опилки..

> Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?

Я ответил на вопрос откуда я ставлю пакеты. В каком месте ты увидел рекламу? Хотя когда у тебя в голове опилки разное чудится

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 14:19 
> Я ответил на вопрос откуда я ставлю пакеты.

Во-первых, вопрос "откуда" от того анонима был риторическим: и так понятно, что из условного репозитория, который чисто технически такая же помойка, как и NPM.

Во-вторых, тот аноним спрашивал он не тебя.

И, в-третьих, несмотря на это все, ты тем не менее влез в обсуждение с ссылкой на репу какой-то мутной местной конторы, а "совсем другое" - это, оказыватся, "их еще не ломали".

Поэтому не притворяйся наивным лопушком, пожалуйста.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 14:30 
> Я ответил на вопрос откуда я ставлю пакеты. В каком месте ты увидел рекламу?

В том-то и дело, доужок, что я тебя лично ни о чем не спрашивал (вопрос был другому человеку и сугубо рторический) - но ты при этом всплыл с ссылкой на эту НЁХ.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено User , 09-Сен-25 10:25 
Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено пох. , 09-Сен-25 18:51 
> Очень надеюсь, что это попало в махровый энтерпрайз.

сссссс..

  

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:11 
> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы.

При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:23 
А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:52 
За нас у же все подумали - за целых два дня прислали.
Осталось только ввести логин и пароль.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Кошкажена , 09-Сен-25 16:04 
> Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂

А что ты хотел от людей, которые только и делают, что обновляют зависимости. У таких 1 день - это уже устарело.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 17:07 
Требование вполне в духе современных "сервисов".
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено пох. , 09-Сен-25 18:52 
Не, ну я бы тоже насторожился - чего вдруг за аж два дня? Вот если б за два часа, но пятнадцать штук с интервалом две минуты и каждый раз новым линком а старый уже не работает - было бы в духе.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Анонимный эксперт , 09-Сен-25 09:54 
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется.
Но делать они этого конечно не будут.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 10:33 
> Ну и платить

энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:04 
>Энтерпрайзу давно пора

Если ты такой умный, то почему ты не энтерпрайз?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Tron is Whistling , 09-Сен-25 13:56 
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено...

Как положено, в общем...

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено пох. , 09-Сен-25 18:53 
патронов не напасешься. Не сто их...

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 09:58 
> Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.

И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.

Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено User , 09-Сен-25 10:23 
Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть!
Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 10:24 
> И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.

Так они и независимы. Видишь ли, двуфакторка сделана в первую очередь для защиты на стороне пользователя (если один фактор сперли), а от дыр на стороне сервера и тем более вот таких прокси, вклинившихся "между", она не защищает.

> Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.

И тогда двуфакторка превращается в однофакторку. Причем если у тебя именно второй фактор (девайс с почтой) то при такой схеме авторизации у злоумышленников теперь есть доступ ко ВСЕМ твоим аккаунтам, если на этом девайсе в браузере ты выбирал автосохраниение паролей.

И, кстати, безопасно логиниться в саму почту тоже как-то надо.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 10:40 
а два миллиарда_загрузок_в_неделю никого не смущают? не подозрительно многовато?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Anonim , 09-Сен-25 11:02 
Слышал когда-нибудь о CI/CD?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 11:06 
Люди любят красить буквы...
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:56 
Там боты загружают новую версию JS пакета, если видят изменение версии в репозитарии.
При каждом старте.
Ну это такой вид программирования на JS.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 11:10 
>  множества библиотек для консольных приложений.

Консольные приложения на javascript! Дожили.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 11:10 
По сути запускается браузер, чтоб выполнить консольную программу.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:09 
Нет там никакого браузера, просто нода в tty текст выводит.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним Анонимович Анонимов , 09-Сен-25 11:34 
Не холивара ради, а исторической справки для.

Консольные программы на js появились ещё в 90-е на оффтопике. В 00-х расширили с помощью .net.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:10 
Значит питон, перл и прочие баг портянки тебя не смущают?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 17:26 
Для смущения нужно чтобы сознание как-то участвовало в процессе. А он увидел знакомые буквы, и сразу пошла слюна. Всё как у Павлова.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Рандом , 09-Сен-25 11:29 
Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации и вы приехали что ваш номер у которому привязаны акки теперь может быть подвержен тупо быстрому хищению акков , лучше держаться одно паролевой идентификации с на геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания геолокации аноны это всё равно обезличенная масса и зачем им становиться великими они все равно этого бояться им в таком случае и навигатор не нужен.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 11:40 
Sms это и не 2fa. На случай утраты доступа есть листок с распечатанными одноразовыми кодами.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено User , 09-Сен-25 12:09 
> Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой
> заблокирует сим сим и выдаст её левому челу уверяя вас что
> никому не выдаст этот номер раз не смог вам перевыпустить этот
> же номер на другой релокации внутри федерации и вы приехали что
> ваш номер у которому привязаны акки теперь может быть подвержен тупо
> быстрому хищению акков , лучше держаться одно паролевой идентификации с на
> геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания
> геолокации аноны это всё равно обезличенная масса и зачем им становиться
> великими они все равно этого бояться им в таком случае и
> навигатор не нужен.

Не, ну использовать в качестве "второго фактора" - _принципиально_ не принадлежащую тебе вещь - _арендуемый_ на мутных условиях телефонный номер само по себе "ну, такоэ" решение.
Но ить - считать, что вот этим вот - ну может еще TOTP концепция 2FA и ограничивается и ограничивается прям вообще волшебно.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Кексперт , 09-Сен-25 18:40 
С рождения тебе принадлежит только лицо и голос, так что давайте все недовольные идити куда следует регистрировать биометрию
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 13:05 
>оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации

Напомнило мне мою историю с внезапным выпуском еще одной платежной карты к моему счету в ПСБ, о которой я ни слухом ни духом.
При этом техподдержка настоятельно уверяла меня что "выпустить карту без моего присутствия в офисе невозможно". При смене контактного телефона, и других действиях робот присылал мне СМС о чем я и узнал из СМС.
Девочка на горячей линии техподдержки (это чуть выше обыкновенных, озвучивающих скрипты) разобралась с проблемой и ретранслировала мне ответ "менеджер сказал что с клиентом все согласовано"

Пысы: закончилось все безубыточно - на след день я съездил в офис именно к этому менеджеру, и первое что я от него услышал это удивленное "Вы уже здесь?".

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 11:30 
>npmjs.help

Если кто-то повёлся, навсегда занести их в чёрный список. Как умственнонеполноценных. А, хотя, подождите, для этого же кок и принимали. Только почему они чем-то там управляют теперь?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено User , 09-Сен-25 12:01 
victim blaming? Не, не слышал - "с хорошими девочками плохие вещи не случаются!"
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:25 
Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так это компании, делающие легитимные рассылки с левых доменов. Но только, не заметить, что это левый сайт, в данном случае, просто невозможно. А ведь вроде взрослые околоайтишники.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:28 
> делающие легитимные рассылки с левых доменов.

Можно написать скрипт, который будет отправлять письма по одному.

А если вообще заблочить левые домены, то начнется воняние васянов с подкроватными мейлсерверами типа "корпы их ущемляют".

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено User , 09-Сен-25 13:52 
> Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так
> это компании, делающие легитимные рассылки с левых доменов. Но только, не
> заметить, что это левый сайт, в данном случае, просто невозможно. А
> ведь вроде взрослые околоайтишники.

Да-да, самадуравиновата. И вот велосипедисты, ой, электросамокатчики еще - все зло от них.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 15:20 
А кто виноват? И не хочешь ли ты сказать, что всё зло от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий билет -- вполне справедливо.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено User , 09-Сен-25 16:18 
> А кто виноват? И не хочешь ли ты сказать, что всё зло
> от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить
> прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не
> денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий
> билет -- вполне справедливо.

Да-да, и вот сишников за выход за пределы буфера всенепременно на мороз - ну детская же ошибка, правда? И вот админов за кривые ACL пороть - всех же учат, ага. И...

"А может просто использовать устойчивые к фишингу варианты аутентификации?
Да не, ерунда какая-то..."

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 17:42 
Может лучше скаммеров сажать и с преступностью бороться? Не, ерунда какая-то, лучше жертв преступления виноватыми сделать. Скаммеров ещё найти надо, а если они отстреливаться начнут? А эти вон — сами пришли, даже искать не надо.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 12:59 
>is-arrayish

О,новый лефтпад! Что это за нескучный язычок такой, что нужен _внешний_ модуль, чтобы определять тип переменной?

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 13:54 
Он не тип переменной проверяет. Ох уж эти иксперты.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 17:00 
Выдаёт тру когда софт запускают арии?
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 19:22 
У него же там батарейки в комплекте, а такую фигню не проверяет?

> Ох уж эти иксперты.

иксперты - это видимо те, кто is-arrayish юзает

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 18:20 
Он проверяет, может ли объект быть использован как массив. Целых 9 LOC.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 13:04 
Странное дело. В силу профессиональной деятельности указанный гражданин не мог не знать об указанном способе фишинга. К тому же большинство почтовых клиентов блокируют такие письма. Так что есть серьёзные основания полагать, что доступ был получен не случайно. Разраба могли попросить вежливые люди или банально подкупить. Ну а доступ им потребовался для совершения какой-то разовой операции. После чего дело обставили как случайный "фишинг". Это примерно как у нас, когда жертва "мошенников" внезапно переводит сотни миллионов рублей на какой-то мутный счёт, хотя в реальности это сделать физически нереально.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Pahanivo , 09-Сен-25 13:16 
CСпрашивается, что вы хотите от пользователей, бабушек и т.д.)))
Тут девелоперы в секурити не волокут от слова совсем.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Кошкажена , 09-Сен-25 15:53 
В дурк^npm без перемен.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Кошкажена , 09-Сен-25 15:56 
Список скомпромитированных пакетов состоит из каких-то велосипедов. Нормальный человек такое напишет у себя за 5 минут без всяких зависимостей. Ох уж это скриптизеры.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено 12yoexpert , 09-Сен-25 16:33 
вот поэтому я при получении таких писем иду в браузер и захожу на сайт руками. ну и не пишу на джаве
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено пох. , 09-Сен-25 18:48 
дык, а толку-то...

когда половина инструкций начинается с "установите npm".... ну или curl|sudo bash его норовит сам поставить.

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 16:40 
Всё движется к тому, что со временем в NPM будут находить нескопрометированные пакеты.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено Аноним , 09-Сен-25 17:46 
Не перечесть сколько ещё учётных записей присоединилось к различным проектам, чтобы однажды добавить свой кусочек кода.
"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."
Отправлено пох. , 09-Сен-25 18:49 
зачем им? Судя по новости - просто используй пароль 123. К какому-нибудь лефтпаду да подойдет, и все за тебя уже присоединились и кода надобавляли, хрен там твою добавку кто увидит.