Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63894
> червь поразил 187 пакетов в NPMНе может быть! Никогда такого не было!
И вот опять!
Но на этот раз не криптостиллер и не майнер - уже что-то новое
Эволюция ! Уже добрались до червячков, скоро кони поскачут.
Дежурная шутка. Уже не смешно.
> Дежурная шутка. Уже не смешно.Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.
так это вам же и наставили.
Зависть - плохое чувство.
Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
Ёжики кололись и плакали, но продолжали грызть NPM.
> Не может быть! Никогда такого не было!Совсем классику забыли. Правильно:
"Вспомнити npm leftpad!"
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages.Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!
> червь поразилКак раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе.
> total of 3,583,991 packages
Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.
А как они выявляют заражение?
Сканируют каждый раз вручную весь репозитарий антивирусом?
А на что сканировать, если не знаешь, что искать? Сейчас такие технологии у программистов, что обычный код работает, как троян.
ну хотя бы поиск по подстроке "Shai-Hulud" и файлики "data.json"...
а так, да, можно вообще ничего не делать - зачем, если программисты все равно так пишут.
> "Shai-Hulud" и файлики "data.json"А кто сказал, что это не отвлекающий след?
О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию, это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно типичные операции пушинга релиза пакета с одним и тем же файлом в разные пакеты должно у эвристического анализатора вызвать подозрения.
> О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию,
> это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно
> типичные операции пушинга релиза пакета с одним и тем же файлом
> в разные пакеты должно у эвристического анализатора вызвать подозрения.Особенно эффективно этот ботнет-антивирус ... сломал куче корпораций компьютерные системы, в общем идея заразиться самым крутым вирусом чтобы вирусы пожиже обломались - ну такая себе, спорненькая :)
>и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил измененияЕсли есть токен доступа, то запушить можно автоматически.
Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимостиНевероятно
Без разницы. Сам crowdstrike такая же малварь как и это https://xakep.ru/2025/09/15/huntress-rare-look/
Автоматизацию теперь червем называют?
Компьютерный червь — это самовоспроизводящаяся вредоносная программа, которая распространяется по сетям, используя уязвимости, и не требует для этого действий пользователя или прикрепления к другим файлам. В отличие от вирусов, которые для активации и распространения могут нуждаться в запуске пользователем зараженного файла, черви действуют автономно
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog.Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.
еще больше "Какие молодцы" выйдет, елси на этом коде научится очередной (название условное) чат гипити и начнёт в новые проекты вставлять подобный код.. ну да, в похожей ситуации такой код был. значит и вам нужен. вот тогда да, выйдет замечательно.
>на этом коде научится очередной (название условное) чат гипитиОй, это будет круто! )))
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз.Появление червя был лишь вопросом времени.
А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
Так и есть. Просто популярность JS почему-то сильно преуменьшина
А вы думаете что js это одно, а остальное - другое? Нет, эта практика порочная, вне зависимости от выбранного языка.
В С тоже есть пакетные менеджеры и не один, но они просто не популярны.
> в Go вообще с гитхабано через гугло прокси, как раз чтоб предотвращать, подробнее:
Pypi поддерживает подписи PGP пакетов, что решает проблему с под мной пакетов.
В PHP пакетник никак не используется (я про его существование до данного поста не знал), в Си его нет и вовсе, потому эти языки делались на десятилетия, а потому являются безопасными, если сам кодер не дурак.
> А где не так?Например, там, где принято отревизить зависимость, хотя бы поверхностно, и прибить проверенную версию гвоздями в скрипте установщика.
> А потому что в JS принято обновлять все npm в слепую.А у других что, прям так, каждый стороний пакет - пересмотр исходников?
В c/c++ культуры переиспользования кода почти нет, и очень часто даже для самых обычных вещей пишется свой кривой-косой велосипед.
> В c/c++ культуры переиспользования кода почти нет, и очень часто даже для самых обычных вещей пишется свой кривой-косой велосипед.Вы уверены? А как же vcpkg, Conan, Hunter, Buckaroo, Poac, Cabin ?
В сишарпе так же. Но уязвимости ни разу не видел
красивое
Ага, а говорили - "язык плохой"!
Прямо с языка сорвал.
Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?
> Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?Шо будет, шо будет? Ничего не будет (с)
opennet.ru/opennews/art.shtml?num=63875
Сведений об успешном захвате учётных данных в ходе атаки пока нет.Растовики просто оказались поумнее жаваскриптеров или разработчиков СИшных ХЗ либ.
Воот, __сведений__ нет. Пока нет.
Ну вот когда будут, тогда ̶и̶ ̶п̶о̶г̶о̶в̶о̶р̶и̶м̶ будем слушать "какое карго шeрeт0".
Пока это просто крики из 🐓 угла.А то так можно сказать "в linux kernel пока не найден бекдор".
Благо прецеденты были от АНБ, которые по 10 лет жили не тужили.
Т.е он там может быть с очень ненулевой вероятностью)
Я как-то на заводе работал очень давно. Так вот случались случаи что присылали новую электронику из-за рубежа для разработки. Так вот выглядит как рабочее, только вот не работает как необходимо. Допустим программатор - вроде работает, но работает неправильно. Программу можно хоть 1000 раз проверить, но программирует контроллер неправильно. В чем дело? Недостаточно знаний о контроллере? Неправильная программа? И некому помочь из специалистов - не знают в чем причина. Т.е. контроллеры определенной фирмы применять нельзя, не работают. Перешли на другие - работают, но это все время тянет. И только через годы приходит на ум то что с программатором то может быть что-то не так. Разобрали, а там один контакт недопаян. Вот случайность когда такие ситуации бывают? Так-что прецеденты с АНБ в этом случае могут быть весьма широкими и один из наиболее очевидных - только определенным клиентам может прийти что-то другое. Так вообще никто ничего не заметит
У того бекдора от АНБ чуть название изменили только, убрали "NSA". А так он есть и по сей день.
злой хакер запутается в закорючках, устанет бегать от борова, заплачет и уйдет?
Да ничего сложного в borrow нет. Просто надо свыкнуться, у у данных есть Один владелец, а не каждый участок кода.
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
Ну если гос комп куплен во времена Бени и с тех пор не менялся - не мудрено.
Тут на четвертых то пнях воют что страницы тяжелые, с таким то вообще жизни нет.
Мож оно это - написать повыше чтоб компы перестали кирпичом чистить да подновили парк а то уже реакт у них на 3 секунды подвисает)
А хоть в жабаскрипт что-нибудь компилирует?
Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
Если я правильно понял, то в качестве примера можно дать Elm, PureScript, Haskell (ghcjs), CoffeeScript.
> Если я правильно понял, то в качестве примера можно дать Elm, PureScript,
> Haskell (ghcjs), CoffeeScript.Речь о сабже - делает ли он это (сама смузи-формулировка "компиляция в жабаскрипт" доставляет, просто-напросто)
А так же ocaml, type script, reason ml, rescript, flow.
комментатор поскупился на запятые,
скорее всего он имел ввиду "в этом вашем жаваскрипт, ну хоть кто нибудь компилирует код в бинарники?"
в оригинале комментария, да, выглядит косноязычно и вырвиглазно.
Нет, смузи-кодеры именно, что "компилируют в жабаскрипт". Вот и вопрос - делает ли что-то подобное сабж?
одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.
> одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.И все при деле.
Как опять?
Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
А чё они не пристрелили вендовс, когда тот весь в червях был? Мир так не работает, увы. Люди будут героически преодолевать проблемы. А потом ещё и ещё.
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов.
Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
Но а где взять на замену столько прокладок?
Яндекс как то попробовал из курьеров-доставщиков еды, сделать армию "погромистов", и освоить профессии тестировщика, аналитика, дизайнера, разработчика ПО и др.
Но у них "что то пошло не так"!
В чем же они просчитались - до сих пор не поймут.Право рассчитывать на место в программе «Яндекса» смогут курьеры со стажем работы в «Еде», «Лавке» или «Доставке» не менее полугода.
...
Следующим этапом будет тест на мотивациюhttps://www.cnews.ru/news/top/2022-04-19_yandeks_verbuet_kur...
> задуматься от отказа от подобных моделей растпространения пакетовПроблема не в модели, а в отсутствии изоляции. Большинство разработчиков не используют локально контейнеры и при запуске пакетов, и те могут делать с локальной фс что захотят. Это не просто дырочка в безопасности, это целый портал.
Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции"
> Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции"Целый день бился головой об стену. Проблема не в отсутствии мозгов, а в стене.
Точнее, мне кажется: В отсутствие подушечке на голове
Критикуешь - предлагай.
Предлагаю покритиковать.
>которые способен обнаружить сканер TruffleHogНе пора ли объявить указанный пакет зловредом в их репозитарии?
Или будут продолжать жрать кактус и выкапывать стюардессу...
NPM и всре жабаскриптовое болото - это сам по себе червь, пожирающий тонны ресурсов по всему миру.
Особенно бесит, что нельзя переместить node_modules. Костыли не предлагать.
В вам никто ничего и не предлагает.
1) смотря что вы считаете костылями.
2) а что не костылями.
3) стандартный "ln -s" на уровне файловой системы Вас уже не устраивает?
это же консоль, ты что, псих что ли? мы не знаем, что это такое
ну, прокатило бы, еслиб я не знал что в js тоже есть консоль.
и с нее js и начинался.
И в этой консоли можно выполнить ln -s и mount ?
нет.
по большей части это просто консоль вывода, чем ввода.
Это костыль! В Python можно перенести куда угодно virtualenv, rust/go ставят тоже всё отдельно.
Чуть ли не каждую неделю какие проблемы с безопасностью в NPM репах. Складывается впечатление, что какие-то спецслужбы учатся взламывать и заражать GNU/Linux.
Нет. Дефекты архитектуры проекта.
Стюардесса уже была такая, когда ее выкопали!
Не надо искать злой умысел в том что прекрасно объясняется глупостью и некомпетентностью.
«Умное лицо — это ещё не признак ума, господа.
Все глупости на земле делаются именно с этим выражением лица.
Улыбайтесь, господа. Улыбайтесь!»
То есть червь был всегда. Он просто спал энное количество лет и проснулся сам по себе? Когда хотят свести к глупости - это заметают следы и отвлекают внимание.
Нифигасе ... Т.е. "Говорим NPM - подразумеваем Linux! Говорим Linux - подразумеваем NPM !" (почти дословная цитата) ?
Они не будут так рисковать быть раскрытыми.
Интересно, сколько времени нужно, чтобы ыксперды перестали обсуждать язык и репозитории, и вспомнили про то, что работа с репозиториями должна проводится из среды, не имеющей возможности выполнения кода, а выполнение кода должно быть в среде, не имеющей доступа к репозиторию.
мы бы вспомнили, если бы это было правдой, но это не она
Вы готовы назватьтакую среду?
Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.
про выпрыгивание из докера на уровень хоста - не, не слышали про данные уязвимости?
(я понимаю, притянуто за уши, но в целом с вами согласен.)
Ок. У тебя докер, в докере нода, в ноде майнер."Ну что сынку помогли тебе твои лях^W докеры ?"
Например, если нужно, чтобы контейнер использовал не более 01% одного процессора, используется команда:docker run --cpus="0.01" тестовый контейнер
Например, можно задать доли в два раза большие для одного контейнера по сравнению с другими:
docker run --cpu-shares=2048 тестовый контейнер два
как бы это основы...
Да да - "выключенный компьютер в сейфе из интернета не взломать".Зачем мне докер, который без сети и процессора ? Смотреть на него ?
Майнеру нужен доступ в сеть, а условный докер можно запустить без сети, а зависимости ставить через условный nix. Nix собирает зависимости в изолированном окружении, без доступа к сети.
>"Ну что сынку помогли тебе твои лях^W докеры ?"Вам нужно больше продвинутых инструментов, а не меньше.
>> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.Хрень не соответствующая предыдущему вашему комментарию. До того ж докер для коммерческого применения платная (ну может не в России, но за рубежом она платная для коммерции).
>До того ж докер для коммерческого применения платнаяБерите не докер. Для изоляции доступно куча утилит, хоть systemd, хоть incus, хоть lxc.
> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на
> хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера,А червякам большая разнциа - из контейнера себя рассылать или с хоста?
В предложенной схеме, не всё равно
1. там не сети
2. ключей там тоже нет, соотв компрометировать нечего,
"активная среда 1" -> "данные" -> "активный репозиторий без прав изменения пакетов"
сейчас "клиент репозитория" -> "репозиторий" - данные никто не видит и не может охранять их целостность и анализировать на безопасность.
С этими вирусами теперь и вправду придётся по старинке вручную поддерживать зависимости. А тесты запускать внутри виртуалки.
а мы и не прекращали.
что у вас за среда разработки, в которой Вы манкируете правилами безопасности?
>придётся по старинке вручную поддерживать зависимости.и не сойти с ума.
Сначала руками, потом напишете скрипты, а потом и свою пакетную систему. Раз никто этого ещё не сделал, значит всех всё устраивает.
А вот и "паровозик" в программной управляющей инфраструктуре. Контроль гуманоидов над процессом утрачен.
>Вредоносные релизы формируются для 20 наиболее популярных пакетовВот так просто объявить релиз?! А где спасительная - в данном случае - бюрократия? Где этапы заморозки и т.п.?
какая еще бюрократия и заморозка на bazaar - там же идея всего этого NPM хранилища убрать фрикции для разработчиков, чтобы перестали ходить к админам в свитерах
Объекты и субъекты управления в этой среде стали "прозрачными" и поддаются автоматизации для хулиганов - как структура исполнительного модуля в памяти. Не удивительно, что появился червь.
Судя по всему через пару дней ждем новостей об аналогичном червячке в крейте Раста. Посмотрим, как зумеры будут его ловить.Модератор перед затиранием поста, ознакомься пожалуйста, с новостью https://www.opennet.me/opennews/art.shtml?num=63875
> Судя по всемуСудя по чему? Голосам в голове?
> ждем новостей об аналогичном червячке в крейте Раста.
Почти в каждой новости кто-то "ждёт". За всё это время могли бы собраться и сами написать червя. Ах, да, не получается осилить синтаксис, да и с боровом тягаться слишком сложно.
> Посмотрим, как зумеры будут его ловить.
А что там смотреть? В прошлый раз был тайпсквотинг с добавлением вредоносного кода. Нашли. Удалили.
> Судя по всему, атака не ограничивается упомянутыми 187 пакетамиХипстики такие хипстики. Даже не знают - насколько именно их поимели. Просто топчик. Вроде 187 пакетов, но вроде продолжает создаваться. А, погодите, ноджыэс же вместе с гитхабом макйрософт взял под крыло. И сделав всем мозг своими 2FA и чем там еще ... обеспечил безопасность. И выглядела эта безопасность как гигантский червь. Окей, майкрософт!
Вспомнился Windows 90-х...
Ждём трёхфакторную аутентификацию + отпечаток большого пальца левой ноги и снимок сетчатки ближайших родственников и/или членов семьи...
достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key.
возможно, приватные ключи придется сдать на проверку подбором пассфразы по словарю.
если подобралось за разумный срок - посылать на переделку.
> достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key.А что мешает хулигану сделать тоже самое и подписать своим гпг?
Он с таким же успехом может загрузить свой публичный ключ указав там ваше имя.
Это все равно что самому себе паспорт выдавать, веры то только такому паспорту - ноль
> А что мешает хулигану сделать тоже самое и подписать своим гпг?хулиган отсутствет в списке авторизованных проверенных западла не коммитящих авторов NPM.
> Он с таким же успехом может загрузить свой публичный ключ указав там
> ваше имя.может.
но ключ авторизованного проверенного западла не коммитящего автора NPM пришел первым.еще вопросы ?
> Это все равно что самому себе паспорт выдавать, веры то только такому
> паспорту - нольверы любому паспорту РФ из региона ДИЧ - ноль.
и они затаскивают свои привычки на остальную территорию РФ.
не хотите читать политоту и многонационалку ? суйте свои аналогии поглубже в,
не выпускайте их в паблик.
>> А что мешает хулигану сделать тоже самое и подписать своим гпг?
> хулиган отсутствет в списке авторизованных проверенных западла не коммитящих авторов NPM.Вот здесь поподробнее... - кем проверен и кем авторизован?
>> Он с таким же успехом может загрузить свой публичный ключ указав там
>> ваше имя.
> может.
> но ключ авторизованного проверенного западла не коммитящего автора NPM пришел первым.Пришел? От кого? И почему первым?
> еще вопросы ?
Я однажды уже показал одному очень крупному проекту, как легко представится секьюрити офицером от того проекта не будь таковым... Есть еще вопросы?
>> Это все равно что самому себе паспорт выдавать, веры то только такому
>> паспорту - ноль
> веры любому паспорту РФ из региона ДИЧ - ноль.
> и они затаскивают свои привычки на остальную территорию РФ.
> не хотите читать политоту и многонационалку ?Не, совсем не хочу, и вам не советую лезть с политикой в технику
> суйте свои аналогии поглубже в, не выпускайте их в паблик.
Хамим? С какого испугу паспорт должен быть привязан именно к РФ? Других стран нет?
Серьезно это вас так торкнуло...
> Я однажды уже показал одному очень крупному проекту, как легко представится
> секьюрити офицером от того проектаочень хорошо. рад за вас. видимо у сосурити офицера того проекта
не было ни пароля ни ключа ни сертификата. что же, значит такой офицер.однако: очень легко представиться директором какой-либо фирмы,
сказать что в отпуске в таиланде, потерял ноутбук и смартфон, время не ждет,
враги повсюду, и приказать бухгалтеру перевести все деньги на безопастный счет.
но: в реале это присходит редко, успех - еще реже
(с интервенцией в репозитории пакетов несравнимо).
почему так ?// вы слишко много задали вопросов. я пока подожду с ответами.
> // вы слишко много задали вопросов. я пока подожду с ответами.Вы не воктнули в смысл того, что я сказал. ПГП подписи это тоже самое как стратус, который прячет голову в песок. Пока ключи не подписанны **доверенным** 3rd independent party, которым верят все(!!!), толку от пгп подписей = 0
Сорри, но на пустопорожнее словоблудие нет время...
> подписанны **доверенным** 3rd independent party, которым верят все(!!!),безопастник вскрылся.
знайте, что "довереннным" CA я не доверяю, и всегда ищу способы их проверить.
сколько уже продажных CA было ? и сколько еще будет ?
поэтому только связки кросс-подписей и web of trust, как бы не смешно это звучало.ps: "!!!" и "**" вашу аргументацию отнюдь не усиливают, наоборот выглядит как истерика.
> поэтому только связки кросс-подписей и web of trust, как бы не смешно это звучало.Действительно смешно :)))
> ps: "!!!" и "**" вашу аргументацию отнюдь не усиливают, наоборот выглядит как истерика.
Истерика??? Дал безплатно, разжевал что к чему и в итоге награда - назвали истеричкой...
Меня никогда не перестанет удивлять опеннет...
Ездите на конференции НПМ и лично проверяйте пгп ключи, не забудьте заскочить к Торвальдосу, там такая же картина как и с НПМ.
Удачи короче !
вдогонку: NPM может профинансировать митап + пьянку + key signing party в реале,
только для авторизованных проверенных западла не коммитящих авторов.
> вдогонку: NPM может профинансировать митап + пьянку + key signing party в
> реале, только для авторизованных проверенных западла не коммитящих авторов.И? Что же никто кроме 3 с половиной человека с Веботраста до сих пор не организовали пьянку? И в Кернеле такая же картина, некогда им друг друга в реале перепроверять, делать кросс подписи, проверив живьем морду или на худой конец тот же паспорт. И где гарантии опять же простым смертным не присутвующим на пьянке верить тем кто в теории мог бы сделать (левые?) кросс подписи? Просто по имени ? Или просто что публичный ключ "первым пришел"? (кстати первыми как раз и могут быть от засланных казчков) на публичных серверах
Так что ваша секюрная ПГП подпись абсолютно не имеет никакого доверия. Пшик, который любой может настрогать представившись тем кто он на самом деле не есть
Я когда-то пробовал зарегаться на мордокниге - быстро заблочили и потребовали скан паспорта.
Идея вируса отличная, вопрос только - зачем? Типа сам автор опубликовал данные о системе. Интересно!
>После активации червь осуществляет поиск учётных данных в текущем окружении
>В случае обнаружения токена подключения к каталогу NPM
>Помимо токена доступа к NPM червь сохраняет ключи доступа к <...>Пароли небезопасны, говорили они...
Пароль перехватят, ключи - молча и незаметно украдут, и в чём разница?
Кгм... Вы меня извините, но "самораспространяющийся червь" - это масло масляное.