URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137855
[ Назад ]
Исходное сообщение
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено opennews , 17-Сен-25 09:27 
Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации  NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63894

Содержание
Сообщения в этом обсуждении
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 09:27 
> червь поразил 187 пакетов в NPM

Не может быть! Никогда такого не было!

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Жироватт , 17-Сен-25 10:14 
И вот опять!
Но на этот раз не криптостиллер и не майнер - уже что-то новое
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 1 , 17-Сен-25 15:05 
Эволюция ! Уже добрались до червячков, скоро кони поскачут.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 11:52 
Дежурная шутка. Уже не смешно.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:05 
> Дежурная шутка. Уже не смешно.

Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:40 
так это вам же и наставили.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Жироватт , 17-Сен-25 12:13 
Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 13:20 
Ёжики кололись и плакали, но продолжали грызть NPM.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 21:12 
> Не может быть! Никогда такого не было!

Совсем классику забыли. Правильно:

"Вспомнити npm leftpad!"

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 09:47 
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages.

Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено ptr , 17-Сен-25 09:59 
> червь поразил

Как раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе.

> total of 3,583,991 packages

Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:00 
А как они выявляют заражение?
Сканируют каждый раз вручную весь репозитарий антивирусом?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 13:21 
А на что сканировать, если не знаешь, что искать? Сейчас такие технологии у программистов, что обычный код работает, как троян.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:14 
ну хотя бы поиск по подстроке "Shai-Hulud" и файлики "data.json"...
а так, да, можно вообще ничего не делать - зачем, если программисты все равно так пишут.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 21:09 
> "Shai-Hulud" и файлики "data.json"

А кто сказал, что это не отвлекающий след?

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Джон Титор , 17-Сен-25 20:15 
О, crowdstrike один из самых интересных антивирусов. Если внедрить его в компанию, это получается у тебя как антивирус-ботнет. Весьма эффективная штука. И естественно типичные операции пушинга релиза пакета с одним и тем же файлом в разные пакеты должно у эвристического анализатора вызвать подозрения.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:22 
>и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения

Если есть токен доступа, то запушить можно автоматически.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 10:04 
Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 09:56 
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимости

Невероятно

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 21:56 
Без разницы. Сам crowdstrike такая же малварь как и это https://xakep.ru/2025/09/15/huntress-rare-look/
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 10:05 
Автоматизацию теперь червем называют?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 11:55 
Автоматизация распространения вредоноса - да.

пс: очередной неруззкий чебурашка.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 01:38 
Компьютерный червь — это самовоспроизводящаяся вредоносная программа, которая распространяется по сетям, используя уязвимости, и не требует для этого действий пользователя или прикрепления к другим файлам. В отличие от вирусов, которые для активации и распространения могут нуждаться в запуске пользователем зараженного файла, черви действуют автономно
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено freehck , 17-Сен-25 10:13 
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog.

Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 22:03 
еще больше "Какие молодцы" выйдет, елси на этом коде научится очередной (название условное) чат гипити и начнёт в новые проекты вставлять подобный код.. ну да, в похожей ситуации такой код был. значит и вам нужен. вот тогда да, выйдет замечательно.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 10:13 
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз.

Появление червя был лишь вопросом времени.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Веб разработчик , 17-Сен-25 12:09 
А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Данные в так называемом поле Name , 17-Сен-25 13:23 
Так и есть. Просто популярность JS почему-то сильно преуменьшина
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:06 
А вы думаете что js это одно, а остальное - другое? Нет, эта практика порочная, вне зависимости от выбранного языка.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 00:07 
В С тоже есть пакетные менеджеры и не один, но они просто не популярны.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено OpenEcho , 18-Сен-25 11:19 
>  в Go вообще с гитхаба

но через гугло прокси, как раз чтоб предотвращать, подробнее:

https://go.dev/blog/supply-chain

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 12:58 
Pypi поддерживает подписи PGP пакетов, что решает проблему с под мной пакетов.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено OpenEcho , 18-Сен-25 11:16 
> А потому что в JS принято обновлять все npm в слепую.

А у других что, прям так, каждый стороний пакет - пересмотр исходников?

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 12:24 
В c/c++ культуры переиспользования кода почти нет, и очень часто даже для самых обычных вещей пишется свой кривой-косой велосипед.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 12yoexpert , 17-Сен-25 10:42 
красивое
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено пох. , 17-Сен-25 11:11 
Ага, а говорили - "язык плохой"!
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:10 
Прямо с языка сорвал.
Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:38 
Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 13:31 
> Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?

Шо будет, шо будет? Ничего не будет (с)

opennet.ru/opennews/art.shtml?num=63875
Сведений об успешном захвате учётных данных в ходе атаки пока нет.

Растовики просто оказались поумнее жаваскриптеров или разработчиков СИшных ХЗ либ.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:25 
Воот, __сведений__ нет. Пока нет.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:04 
Ну вот когда будут, тогда  ̶и̶ ̶п̶о̶г̶о̶в̶о̶р̶и̶м̶ будем слушать "какое карго шeрeт0".
Пока это просто крики из 🐓 угла.

А то так можно сказать "в linux kernel пока не найден бекдор".
Благо прецеденты были от АНБ, которые по 10 лет жили не тужили.
Т.е он там может быть с очень ненулевой вероятностью)

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 00:21 
Я как-то на заводе работал очень давно. Так вот случались случаи что присылали новую электронику из-за рубежа для разработки. Так вот выглядит как рабочее, только вот не работает как необходимо. Допустим программатор - вроде работает, но работает неправильно. Программу можно хоть 1000 раз проверить, но программирует контроллер неправильно. В чем дело? Недостаточно знаний о контроллере? Неправильная программа? И некому помочь из специалистов - не знают в чем причина. Т.е. контроллеры определенной фирмы применять нельзя, не работают. Перешли на другие - работают, но это все время тянет. И только через годы приходит на ум то что с программатором то может быть что-то не так. Разобрали, а там один контакт недопаян. Вот случайность когда такие ситуации бывают? Так-что прецеденты с АНБ в этом случае могут быть весьма широкими и один из наиболее очевидных - только определенным клиентам может прийти что-то другое. Так вообще никто ничего не заметит
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено пох. , 17-Сен-25 14:18 
злой хакер запутается в закорючках, устанет бегать от борова, заплачет и уйдет?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 21:11 
Да ничего сложного в borrow нет. Просто надо свыкнуться, у у данных есть Один владелец, а не каждый участок кода.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 11:13 
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:08 
А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:53 
Ну если гос комп куплен во времена Бени и с тех пор не менялся - не мудрено.
Тут на четвертых то пнях воют что страницы тяжелые, с таким то вообще жизни нет.
Мож оно это - написать повыше чтоб компы перестали кирпичом чистить да подновили парк а то уже реакт у них на 3 секунды подвисает)
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 0xdeadbee , 18-Сен-25 05:52 
> подновили парк

если вы (и подобные вам) дадите денег на это.
можно целевым взносом, а можно акциз на смузи и вейпы наложить.
как известно, инициатива волнует инициатора.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено SKZ , 17-Сен-25 11:32 
А хоть в жабаскрипт что-нибудь компилирует?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 11:56 
Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:19 
Если я правильно понял, то в качестве примера можно дать Elm, PureScript, Haskell (ghcjs), CoffeeScript.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено SKZ , 17-Сен-25 14:49 
> Если я правильно понял, то в качестве примера можно дать Elm, PureScript,
> Haskell (ghcjs), CoffeeScript.

Речь о сабже - делает ли он это (сама смузи-формулировка "компиляция в жабаскрипт" доставляет, просто-напросто)

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:24 
А так же ocaml, type script, reason ml, rescript, flow.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:05 
комментатор поскупился на запятые,
скорее всего он имел ввиду "в этом вашем жаваскрипт, ну хоть кто нибудь компилирует код в бинарники?"
в оригинале комментария, да, выглядит косноязычно и вырвиглазно.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено SKZ , 17-Сен-25 15:23 
Нет, смузи-кодеры именно, что "компилируют в жабаскрипт". Вот и вопрос - делает ли что-то подобное сабж?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:48 
одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено SKZ , 17-Сен-25 16:29 
> одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.

И все при деле.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 11:55 
Как опять?
Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 11:59 
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов.
Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:18 
Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:39 
Но а где взять на замену столько прокладок?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:02 
Яндекс как то попробовал из курьеров-доставщиков еды, сделать армию "погромистов", и освоить профессии тестировщика, аналитика, дизайнера, разработчика ПО и др.
Но у них "что то пошло не так"!
В чем же они просчитались - до сих пор не поймут.

Право рассчитывать на место в программе «Яндекса» смогут курьеры со стажем работы в «Еде», «Лавке» или «Доставке» не менее полугода.
...
Следующим этапом будет тест на мотивацию

https://www.cnews.ru/news/top/2022-04-19_yandeks_verbuet_kur...

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Карлос Сношайтилис , 17-Сен-25 12:36 
> задуматься от отказа от подобных моделей растпространения пакетов

Проблема не в модели, а в отсутствии изоляции. Большинство разработчиков не используют локально контейнеры и при запуске пакетов, и те могут делать с локальной фс что захотят. Это не просто дырочка в безопасности, это целый портал.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 21:15 
Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции"
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Карлос Сношайтилис , 17-Сен-25 21:35 
> Ударило током, а тут такой: "проблема не в электричестве, а в отсутствие изоляции"

Целый день бился головой об стену. Проблема не в отсутствии мозгов, а в стене.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 00:46 
Точнее, мне кажется: В отсутствие подушечке на голове
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:32 
Критикуешь - предлагай.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 00:47 
Предлагаю покритиковать.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 12:03 
>которые способен обнаружить сканер TruffleHog

Не пора ли объявить указанный пакет зловредом в их репозитарии?
Или будут продолжать жрать кактус и выкапывать стюардессу...

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено SKZ , 17-Сен-25 12:28 
NPM и всре жабаскриптовое болото - это сам по себе червь, пожирающий тонны ресурсов по всему миру.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Соль земли2 , 17-Сен-25 12:49 
Особенно бесит, что нельзя переместить node_modules. Костыли не предлагать.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 13:31 
В вам никто ничего и не предлагает.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:17 
1) смотря что вы считаете костылями.
2) а что не костылями.
3) стандартный "ln -s" на уровне файловой системы Вас уже не устраивает?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 12yoexpert , 17-Сен-25 14:19 
это же консоль, ты что, псих что ли? мы не знаем, что это такое
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:57 
ну, прокатило бы, еслиб я не знал что в js тоже есть консоль.
и с нее js и начинался.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 1 , 17-Сен-25 15:09 
И в этой консоли можно выполнить ln -s и mount ?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:27 
нет.
по большей части это просто консоль вывода, чем ввода.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Соль земли2 , 17-Сен-25 16:23 
Это костыль! В Python можно перенести куда угодно virtualenv, rust/go ставят тоже всё отдельно.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Ценитель GPL рогаликов , 17-Сен-25 12:47 
Чуть ли не каждую неделю какие проблемы с безопасностью в NPM репах. Складывается впечатление, что какие-то спецслужбы учатся взламывать и заражать GNU/Linux.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 13:30 
Нет. Дефекты архитектуры проекта.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:18 
Стюардесса уже была такая, когда ее выкопали!
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 13:54 
Не надо искать злой умысел в том что прекрасно объясняется глупостью и некомпетентностью.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:55 
«Умное лицо — это ещё не признак ума, господа.
Все глупости на земле делаются именно с этим выражением лица.
Улыбайтесь, господа. Улыбайтесь!»
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:10 
То есть червь был всегда. Он просто спал энное количество лет и проснулся сам по себе? Когда хотят свести к глупости - это заметают следы и отвлекают внимание.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 1 , 17-Сен-25 15:12 
Нифигасе ... Т.е. "Говорим NPM - подразумеваем Linux! Говорим Linux - подразумеваем NPM !" (почти дословная цитата)  ?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Соль земли2 , 17-Сен-25 16:25 
Они не будут так рисковать быть раскрытыми.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:20 
Интересно, сколько времени нужно, чтобы ыксперды перестали обсуждать язык и репозитории, и вспомнили про то, что работа с репозиториями должна проводится из среды, не имеющей возможности выполнения кода, а выполнение кода должно быть в среде, не имеющей доступа к репозиторию.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 12yoexpert , 17-Сен-25 14:21 
мы бы вспомнили, если бы это было правдой, но это не она
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:30 
Вы готовы назватьтакую среду?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:35 
Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:53 
про выпрыгивание из докера на уровень хоста - не, не слышали про данные уязвимости?
(я понимаю, притянуто за уши, но в целом с вами согласен.)
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 1 , 17-Сен-25 15:14 
Ок. У тебя докер, в докере нода, в ноде майнер.

"Ну что сынку помогли тебе твои лях^W докеры ?"

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:24 
Например, если нужно, чтобы контейнер использовал не более 01% одного процессора, используется команда:

docker run --cpus="0.01" тестовый контейнер

Например, можно задать доли в два раза большие для одного контейнера по сравнению с другими:

docker run --cpu-shares=2048 тестовый контейнер два

как бы это основы...

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:48 
Майнеру нужен доступ в сеть, а условный докер можно запустить без сети, а зависимости ставить через условный nix. Nix собирает зависимости в изолированном окружении, без доступа к сети.
>"Ну что сынку помогли тебе твои лях^W докеры ?"

Вам нужно больше продвинутых инструментов, а не меньше.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Джон Титор , 17-Сен-25 20:23 
>> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.

Хрень не соответствующая предыдущему вашему комментарию. До того ж докер для коммерческого применения платная (ну может не в России, но за рубежом она платная для коммерции).

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 10:44 
>До того ж докер для коммерческого применения платная

Берите не докер. Для изоляции доступно куча утилит, хоть systemd, хоть incus, хоть lxc.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 20:39 
> Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на
> хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера,

А червякам большая разнциа - из контейнера себя рассылать или с хоста?

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 22:18 
В предложенной схеме, не всё равно
1. там не сети
2. ключей там тоже нет, соотв компрометировать нечего,
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:33 
"активная среда 1" -> "данные" -> "активный репозиторий без прав изменения пакетов"
сейчас "клиент репозитория" -> "репозиторий" - данные никто не видит и не может охранять их целостность и анализировать на безопасность.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Сосиска , 17-Сен-25 14:51 
С этими вирусами теперь и вправду придётся по старинке вручную поддерживать зависимости. А тесты запускать внутри виртуалки.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 14:54 
а мы и не прекращали.
что у вас за среда разработки, в которой Вы манкируете правилами безопасности?
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:06 
>придётся по старинке вручную поддерживать зависимости.

и не сойти с ума.

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Соль земли2 , 17-Сен-25 16:29 
Сначала руками, потом напишете скрипты, а потом и свою пакетную систему. Раз никто этого ещё не сделал, значит всех всё устраивает.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 15:28 
А вот и "паровозик" в программной управляющей инфраструктуре. Контроль гуманоидов над процессом утрачен.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:00 
>Вредоносные релизы формируются для 20 наиболее популярных пакетов

Вот так просто объявить релиз?! А где спасительная - в данном случае - бюрократия? Где этапы заморозки и т.п.?

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Роман , 17-Сен-25 22:03 
какая еще бюрократия и заморозка на bazaar - там же идея всего этого NPM хранилища убрать фрикции для разработчиков, чтобы перестали ходить к админам в свитерах
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 16:03 
Объекты и субъекты управления в этой среде стали "прозрачными" и поддаются автоматизации для хулиганов - как структура исполнительного модуля в памяти. Не удивительно, что появился  червь.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Гена , 17-Сен-25 16:53 
Судя по всему через пару дней ждем новостей об аналогичном червячке в крейте Раста. Посмотрим, как зумеры будут его ловить.

Модератор перед затиранием поста, ознакомься пожалуйста, с новостью https://www.opennet.me/opennews/art.shtml?num=63875

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 18-Сен-25 01:18 
> Судя по всему

Судя по чему? Голосам в голове?

> ждем новостей об аналогичном червячке в крейте Раста.

Почти в каждой новости кто-то "ждёт". За всё это время могли бы собраться и сами написать червя. Ах, да, не получается осилить синтаксис, да и с боровом тягаться слишком сложно.

> Посмотрим, как зумеры будут его ловить.

А что там смотреть? В прошлый раз был тайпсквотинг с добавлением вредоносного кода. Нашли. Удалили.

https://www.opennet.me/opennews/art.shtml?num=57169

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 17:53 
> Судя по всему, атака не ограничивается упомянутыми 187 пакетами

Хипстики такие хипстики. Даже не знают - насколько именно их поимели. Просто топчик. Вроде 187 пакетов, но вроде продолжает создаваться. А, погодите, ноджыэс же вместе с гитхабом макйрософт взял под крыло. И сделав всем мозг своими 2FA и чем там еще ... обеспечил безопасность. И выглядела эта безопасность как гигантский червь. Окей, майкрософт!

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 18:28 
Вспомнился Windows 90-х...
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Аноним , 17-Сен-25 19:23 
Ждём трёхфакторную аутентификацию + отпечаток большого пальца левой ноги и снимок сетчатки ближайших родственников и/или членов семьи...
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено 0xdeadbee , 18-Сен-25 06:21 
достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key.
возможно, приватные ключи придется сдать на проверку подбором пассфразы по словарю.
если подобралось за разумный срок - посылать на переделку.
"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено OpenEcho , 18-Сен-25 11:41 
> достаточно подписывать коммиты и бинарники gpg ключами с хорошей пассфразой на private key.

А что мешает хулигану сделать тоже самое и подписать своим гпг?

Он с таким же успехом может загрузить свой публичный ключ указав там ваше имя.

Это все равно что самому себе паспорт выдавать, веры то только такому паспорту - ноль

"Самораспространяющийся червь поразил 187 пакетов в NPM"
Отправлено Джон Титор , 17-Сен-25 20:27 
Идея вируса отличная, вопрос только - зачем? Типа сам автор опубликовал данные о системе. Интересно!