История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг   учётных данных  сопровождающего NPM-пакеты  проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63854

• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Жироватт, 08:44 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,localhostadmin, 09:51 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,пох., 10:06 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 10:14 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,vvwvv, 16:25 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Rev, 15:27 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 16:12 , 10-Сен-25
• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 08:56 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Diozan, 09:28 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,1, 09:29 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 22:11 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 09:44 , 10-Сен-25
• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,63506, 09:26 , 10-Сен-25
• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 10:31 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 17:49 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 18:38 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 20:33 , 10-Сен-25
• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 11:29 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 11:52 , 10-Сен-25
    • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 13:49 , 10-Сен-25
• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 13:13 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Tron is Whistling, 14:16 , 10-Сен-25
• Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 15:12 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,AleksK, 16:00 , 10-Сен-25
  • Атакующие получили контроль над NPM-пакетами проекта DuckDB ...,Аноним, 17:49 , 10-Сен-25

Шо, опять?
Никогда ж такого не было - и вот опять.

А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим

Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой

да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может.
Это тебе не нескучный js.

Юные хакеры просто не смогли написать код, на который боров не жалуется.

Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare

> А, между прочим, карго так активно еще не ломали...

Потому, что порог входа сильно выше, чем в JS. На расте пишут самые умные, их сложнее обмануть и выудить учётные данные.

Не. Что бы писать на расте умным быть не надо, в этом одно из его преимуществ. Он доступен всем. Чуть сложнее какой-нибудь Java.

Дело не в том, что пишущие на расте - умные. Дело в том, что отказывающиеся на нём писать - не сильно умные. Другими словами, не надо много ума, что пользоваться смартфоном. Но надо много неума, что бы отказываться им пользоваться.

А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.

Взломанная СУБД - это уже не просто СУБД и не только СУБД....

Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.

> Это же нода, - в названии S, это Security.

C/C++? Java? Net? У кого из них есть [S]ecurity?

Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".

Да-уж, неделька ужасов для хипстеров идет. Ждем продолжения банкета на соседних зумерских площадках.

Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.

На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.

А ничего что новость не про rust?

> Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.
> На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.

На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не ухудшились.

Сами попейте таблетки: крупные поставщики API для инференса недавно обнаружили использование моделей в качестве атаки червём. После чего уже на GitHub в Actions сама MS обнаружили червяка. Но для такой тупой атаки (просмотр файловой системы текстов и вычленение всех полезных для эксплуатации credentials) крупные модели не нужны, достаточно очень мелкой модели.

А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?

Ну айпишник очередной ВЧ и что дальше?

дальше звоним Бибе

пора антивирус для JS делать)

rm -rf сойдёт?

И опять NPM... Может, пора что-то делать.

Микрософт как царь Мидас. Только тот все превращал в золото, а Микрософт все превращает в г**но. Даже винда, в тестах на 15% медленнее убунту оказалась.

А что ты сделаешь если разработчики идиоты и ведутся на фишинг? От этого ничего не спасёт. Изолировать компрометации тоже не получится - даже если пинить версии зависимостей их всё равно когда-нибудь придётся обновлять, а в момент когда ты их обновляешь ты можешь схватить скомпрометированную версию.