URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 139102
[ Назад ]
Исходное сообщение
"Атакующим удалось добавить незамеченный вредоносный код в репозиторий Plone"
Отправлено opennews , 01-Фев-26 10:57 
Разработчики свободной системы управления контентом Plone, написанной на Python и JavaScript/NodeJS, объявили об инциденте, в результате которого в git-репозиторий проекта на GitHub был добавлен вредоносный код. Изначально в репозитории были выявлены три появившихся 7 января изменения (1,    2, 3), добавляющие вредоносный код в JavaScript-файлы проекта (1,    2, 3). Разбор инцидента показал, что интеграция вредоносного кода была произведена в результате компрометации учётной записи одного из разработчиков, токен доступа которого был захвачен злоумышленниками после запуска вредоносного ПО в его системе...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64718

Содержание
Сообщения в этом обсуждении
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 10:57 
Force push? Так а ничего, что у всех потом репозиторий перестанет пулиться?
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено ананас , 01-Фев-26 11:05 
там поди только 1 разраб
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:26 
Да, этот как-то топорно было. Джи Танг или как там того китайца/корейца/японца звали, что в ssh пушил, показал класс. Там по всему репозиторию растер и чудом заметили.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 12:27 
vibe pulling

Спросят у чат бота почему не пулится, получат и применят ответ. И всё работает как надо.

"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 12:44 
А ты думаешь как его вычислили? Без этого бы так ничего бы и не поняли.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:06 
"Си дыряв — пишу на NodeJS и Rust", — говорили они.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Grigoriy Wiser , 01-Фев-26 11:18 
Вы адекватны? При угоне доступа без разницы, на каком языке написан код, хоть на ассемблере, хоть "0010 0101 1110".
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 13:35 
> вредоносный код ... в git-репозиторий проекта на GitHub
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:08 
Первый раз слышу о таком проекте, ну это же не хром или ядро, очевидно что проект маленький, ну какая там команда разработчиков, человек 10? Понимаю если 100, тогда ещё можно не уследить, но тут же вполне реально вчитываться в присылаемые изменения, даже от коллег.
Ок, примем что ребята просто на доверии, расслабились и не учли что возможность компрометации никогда не равна нулю.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:34 
Первая CMS на Python, ей лет тридцать
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 12:03 
То что вы о проекте не слышали, не говорит о том, что он не популярен. В своё время Plone была одной из самых популярных CMS, но потом её вытеснил WordPress.

https://ru.wikipedia.org/wiki/Plone

"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 12:55 
ты ещё скажи что никогда не слышал про web application server Zope (https://ru.wikipedia.org/wiki/Zope)
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:09 
А еще интересно, кто стоит за этим, и похожими взломами реп питона и жс.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 13:37 
> git-репозиторий проекта на GitHub

GitHub - это Микрософт.

"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:20 
А вообще, нужно уже придумывать что то новое, для избежания подобных атак, хз, не принимать например изменения от непонятно кого, например, или в чате разработчиков ввести правило, что перед тем как кто-то вносит изменения, обязательно всех оповестить об этом, ну и всем работать не через токены, а просто предлагать изменения, и далее в чате, только уже после, решать, вносить их или нет. Хакерам для такого придется еще и чат ломать.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:21 
Да да а патчи по емайл принимать одному человеку...
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Васян , 01-Фев-26 12:11 
-- - - --  Да да а патчи по емайл принимать одному человеку...

Не, па тилифону и с помащью голасавого памощника... всё должно быть ридонли, полная изаляцыя синей изолентой и в пластиковом контейнере с фольгой запаковано потом. Любимая тема всяких разрабов всяких фич будущего человечества.

"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 13:52 
Лучше всего mailing list сделать, куда слать патчи с помощью git-send-email.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:46 
> Для предотвращения подобной подмены веток в будущем разработчики Plone включили в GitHub правила, блокирующие операции "force push" для основных веток и тегов.

Это первое, что должны делать сопровождающие новых реп. Странно, что гитхаб сам не рекомендует отключить force в мастер ветки.

"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 11:56 
И что предлагаешь делать всяким винампам? Их же засудят на много денег.
"Атакующим удалось добавить незамеченный вредоносный код в ре..."
Отправлено Аноним , 01-Фев-26 12:48 
Временно отключать правило,а потом опять включать.