URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138482
[ Назад ]
Исходное сообщение
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"
Отправлено opennews , 25-Ноя-25 14:16 
Зафиксирована вторая атака на пакеты в  репозитории NPM, проводимая с  использованием  модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64322

Содержание
Сообщения в этом обсуждении
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:18 
Никогда не было, и вот опять.¯\_(ツ)_/¯
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 16:37 
Это безопасная компрометация, ошибок памяти нету.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Байкал электроникс , 25-Ноя-25 14:26 
А вот сидели бы на эльбрусе, который как известно не имеет аналогов, и не было бы всех этих проблем.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:28 
Он что настолько специфичен, что на нём даже node.js не запустить?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:18 
> Он что настолько специфичен, что на нём даже node.js не запустить?

э... как бы это тебе... ну в общем он ни разу ни одна из трех-с-половниой архитектур (линукс на x86-64, винда, винда и макось) на которых нормально работает хромог.

А поскольку v8 это кусок ядра хромога как попало выдранный оттуда жабоскрипт гениями - то все это верно и для него.

Но мудрые в башне работали не покладая рук (или это хвосты?) и некая лавочка "ЮниПро" еще в 18м году гордо объявила что они сделали работающий порт, и в нем даже все-превсе тесты работают.

Правда... в семь раз медленнее интела.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено ЭльбрусЖиви , 25-Ноя-25 18:26 
> Он что настолько специфичен, что на нём даже node.js не запустить?

Большинство популярных виртуальных машин, включая V8, с e2k дружат примерно как кот с пылесосом — никак. А вот под x86 и ARM они вылизаны до блеска десятками человеко‑лет кропотливого пердолинга.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:27 
Это вполне предсказуемо.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Лиечка , 25-Ноя-25 14:28 
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Скушный аноним , 25-Ноя-25 17:39 
Это либо вредоносы научились злиться, либо создатель злится удалённо.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:19 
> Это либо вредоносы научились злиться, либо создатель злится удалённо.

ну брось, создатель, он нетакой.
Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться.

В принципе, совершенно правильно надеется.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Фняк , 25-Ноя-25 18:24 
Скорее простейшая защита от изучения в песочницах и honeypot-ов
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:36 
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Rev , 25-Ноя-25 14:49 
Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:10 
Но это не точно.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:44 
Не выше 20. Иначе, им Раст был бы незачем.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:05 
Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Смузихлеб забывший пароль , 25-Ноя-25 17:08 
Притом, что даже стандартизированного теста для его определения нет )
А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть
А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:11 
> У Go хотя бы подход децентрализованный

Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:29 
>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Rev , 25-Ноя-25 15:40 
Cargo тоже может тянуть с гитхаба или другой репы.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 18:38 
Но Войны-Супротив-Раста об этом не знают.
Это ж надо документацию почитать!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено анон , 25-Ноя-25 15:41 
> То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Юрий , 25-Ноя-25 18:35 
Поисковик заблокирован?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Юрий , 25-Ноя-25 18:36 
Простите, не туда.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 16:54 
И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится.
И если не устраивает сервер по умолчанию то можно и свой поднять.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:36 
Недооцененный комментарий
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:38 
Еще один довод юзать *.deb.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Анонимный аноним , 25-Ноя-25 14:57 
Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:59 
У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Смузихлеб забывший пароль , 25-Ноя-25 17:10 
> Для проведения атаки злоумышленники путём фишинга...

Ну да, жс во всём виноват

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:34 
В Debian как раз каждой зависимости отдельный пакет положен. Как пример:
https://packages.debian.org/trixie/node-axios

То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:10 
На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:43 
Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено X512 , 25-Ноя-25 14:42 
Все дружно переходим на Maven.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Фонтимос , 25-Ноя-25 15:09 
Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:51 
Так, и как с этим бороться ?
https://opennet.ru/63930-npm
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:08 
Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:22 
> Так, и как с этим бороться ?

Возглавь!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:07 
npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено User , 25-Ноя-25 15:46 
> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача
> вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор.
> Обновления только по делу.

Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если  вот и кода нет - то прям совсем хорошо!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:58 
Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено IdeaFix , 25-Ноя-25 16:46 
Молодежь.... заклеить надо на дискете дырочку.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:23 
> Молодежь.... заклеить надо на дискете дырочку.

вчерародившийся! Кольцо сорвать надо!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 18:33 
Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея...
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 19:02 
в смысле? Сто раз так делали! Не тратить же пол-дня на новую заявку ради одной перфокарты!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Анонис , 25-Ноя-25 16:05 
Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено 1 , 25-Ноя-25 16:20 
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Марк Цукерберг , 25-Ноя-25 16:25 
червь-peedor
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Sorlag , 25-Ноя-25 16:46 
А зачем нужен NPM когда есть pacman, apt и rpm/yum/dnf?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 16:48 
Ну ладно шаи хулуд, отлично, на*рал спайсом видимо. ОК. Но сам спайс то где? куда спайс подевали?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:25 
> Ну ладно шаи хулуд, отлично, на*рал спайсом видимо. ОК. Но сам спайс
> то где? куда спайс подевали?

как куда? Харконен им вчера весь вечер харкал!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Соль земли2 , 25-Ноя-25 17:04 
Сэкономили на сканере уязвимостей в CI/CD. Скупой платит дважды.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:53 
Нам нужен Пол Атрейдес.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:04 
Наконец-то нормальные новости про этовашеопенсосие, а не как всегда!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 18:34 
Пока на Rust не перепишут, так и будет. Керниган с Ричи не дадут соврать.