Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Фишинг позволил получить контроль над несколькими популярными NPM-пакетами"	+/–
Сообщение от opennews (??), 21-Июл-25, 09:22
Зафиксирована фишинг-атака на сопровождающих JavaScript-библиотеки, в ходе которой от имени сервиса NPM было разослано сообщение, уведомляющее о необходимости подтвердить свой email. Проведённая атака позволила злоумышленникам... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63610
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Фишинг позволил получить контроль над несколькими популярным..."	+15 +/–
Сообщение от Аноним (1), 21-Июл-25, 09:22
Ну а чего вы ждали от людей, считающих нормой подключать библиотеку для проверки четности числа?
Ответить | Правка | Наверх | Cообщить модератору

	4. "Фишинг позволил получить контроль над несколькими популярным..."	+6 +/–
	Сообщение от Аноним (4), 21-Июл-25, 09:28
	Ты утрируешь немного, но да тот же dayjs получше будет, чем велосипед от васяна для дат.
	Ответить | Правка | Наверх | Cообщить модератору

	43. Скрыто модератором	+4 +/–
	Сообщение от Аноним (43), 21-Июл-25, 12:26
	Не велосипед а жизненная необходимость https://jsdate.wtf/
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Фишинг позволил получить контроль над несколькими популярным..."	–6 +/–
	Сообщение от Аноним (5), 21-Июл-25, 09:29
	1. Никто не считает нормой: is-odd имеет 700,000 установок в неделю, что совсем мало по меркам популярных (часть нормы) пакетов -- десятки миллионов. 2. Библиотеки в npm более узкоспецифичны, и релизятся значительно чаще сишных аналогов. Там, где у си единый комбайн GTK с плеядой функционала, в npm отдельно поставляются: реакт только для возможности создавать компоненты, библиотека для управления дизайн-токенами, библиотека для стилизации, библиотека для отрисовки прикольного одного компонента. Это неплохой подход -- уж точно позволяет обновлять их независимо, а не ждать месяцами, пока комбайн GTK обновится.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	9. "Фишинг позволил получить контроль над несколькими популярным..."	–2 +/–
	Сообщение от Аноним (9), 21-Июл-25, 09:55
	Сам-то понял, что написал?
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Фишинг позволил получить контроль над несколькими популярным..."	+5 +/–
	Сообщение от Аноним (5), 21-Июл-25, 10:40
	Что из написанного ты не понял?
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от 1 (??), 21-Июл-25, 15:18
	Вам не кажется, что npm и GTK попендикулярны ?
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от Tron is Whistling (?), 21-Июл-25, 10:55
	Заодно позволяет аккуратно впилить бэкдор так, что все эти тысячи хомячков, делающие по тысяче загрузок по штуке на сборку после каждой правки - ничего вообще годами не заметят.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	22. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (4), 21-Июл-25, 10:57
	А ситуация в пыховом компосте прямо кардинально противоположная?
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (1), 21-Июл-25, 11:22
	Покажи новость про фишинговую атаку на пыховый композер, обсудим.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (5), 21-Июл-25, 10:58
	Ты же про XZ Utils, верно? Везде, где ты скачиваешь чужой код, есть риски. Но хомячки и далее будут скачивать сгенеренный кем-то тарбол вместо чекаута гита.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	27. "Фишинг позволил получить контроль над несколькими популярным..."	–2 +/–
	Сообщение от Tron is Whistling (?), 21-Июл-25, 11:01
	Видишь в чём прикол - в XZ Utils таки обнаружили. А здесь - вложил версию 0.1.2.3.4567890 с бэкдором, подождал ДЕСЯТЬМУЛЬОНОВЗАГРУЗОК, вложил 0.1.2.3.4567891 - 99.99999999999% из этих ДЕСЯТЬМУЛЬОНОВЗАГРУЗОК даже смотреть не будет, чего там изменилось.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (5), 21-Июл-25, 11:05
	> в XZ Utils таки обнаружили Ага, а сабжевая новость про что? Про то, что фишинг не обнаружили? Давай почитаем: "Зафиксирована фишинг-атака..." Значит обнаружили все-таки? > даже смотреть не будет, чего там изменилось Посмотри, сколько пакетов установлено у тебя в системе. В любом может быть бэкдор, потому что твой дистр качает сгенеренные тарболы вместо чекаута гита.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Tron is Whistling (?), 21-Июл-25, 12:32
	Вот как раз чекаут гита лучше и не трогать. Тарбаллы так-то подписаны, и качает он их тьфу-тьфу с мегамонстра (орацл), который ни разу не публичная репо-помойка.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
Сообщение от Аноним (4), 21-Июл-25, 09:23
Интересно, на опеннете постоянно появляются новости про фишинг в npm, а почему про пыховский компост нет новостей: мол, там нет уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору

	10. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от жявамэн (ok), 21-Июл-25, 09:56
	у нормальных языков все нормально с администрированием репозиторием
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Фишинг позволил получить контроль над несколькими популярным..."	–2 +/–
	Сообщение от Аноним (4), 21-Июл-25, 10:52
	вы хотите сказать, что пых - нормальный язык? может и так, но вот библиотеки на пыхе в компосте пишутся не разработчиками пыха, а васянами со всего света, вот так то! и на пыхе можно по-разному программировать.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Фишинг позволил получить контроль над несколькими популярным..."	–6 +/–
	Сообщение от penetrator (?), 21-Июл-25, 09:59
	так пыха мертвая, доживает свои последние дни в виде крупных проектов прошлых лет никто не тянет ее на сайт, авторов нет
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	18. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (4), 21-Июл-25, 10:53
	дык, вроде в e-commerce пыха всё ещё активно юзается и в разных сайтиках на laravel, разве нет? не знаю, поэтому спрашиваю.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Фишинг позволил получить контроль над несколькими популярным..."	–2 +/–
	Сообщение от Аноним (-), 21-Июл-25, 10:54
	К сожалению все ещё самый популярный язык в вебе. Вся их проблема в том что они сильно усложнили в одной из версий, когда появилась груша, автозагрузчики файлов и много пользователей не разобрались, посчитали что все стало сильно сложно, хотя это правда.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	28. "Фишинг позволил получить контроль над несколькими популярным..."	–1 +/–
	Сообщение от Аноним (28), 21-Июл-25, 11:05
	> так пыха мертвая, доживает свои последние дни Зачем так сразу? Но нет ничего невозможного. Учитесь у старших ТОВАРИЩЕЙ - готовьте народ постепенно (окно Овертона).
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

6. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
Сообщение от Tron is Whistling (?), 21-Июл-25, 09:42
Отличная новость. Лишний раз подтверждает очевидное - норму жизни публичных помоек кода.
Ответить | Правка | Наверх | Cообщить модератору

	12. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (12), 21-Июл-25, 10:04
	По сути сделай такой же сайт - скажут, что зеркало. Имею ввиду публично никто ничего не поймет. Т.к. сейчас блокировки и все остальное.. под шумок - зеркало и все. Фишинг не лечится обычным путем, т.к. человеческий фактор сразу сыграет в пользу мошенников. Все же фильтры необходимы. Локальные.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Tron is Whistling (?), 21-Июл-25, 10:10
	Мозги необходимы... локальные...
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (12), 21-Июл-25, 10:47
	Человеческий фактор.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (-), 21-Июл-25, 11:09
	Да у меня дорогой ребенок недавно вирусняк на Андроид с плей-стор Гугла поставил. О чем речь? А что вы предлагаете вместо? Вернуться к дискам? Так проблема то была в пиратстве. Вы знаете я не осуждаю, сам был когда-то мал и беден, и скачивал весьма многие программы и видео (в основном для образования), но если у вашей семьи есть деньги или вы уже взрослый и зарабатываете - кто вам мешает купить, да честно поступить? Вы знаете я даже купил старые книги, которые уже давно прочёл когда денег не было просто чтоб отблагодарить автора (надеюсь это помогло).
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	46. "Фишинг позволил получить контроль над несколькими популярным..."	–1 +/–
	Сообщение от Tron is Whistling (?), 21-Июл-25, 12:31
	Вирусняк на андроид? Ну так ещё поставьте туда свои банк-клиенты, будет действительно дорогой ребёнок. А в целом ваш пост - про бузину и дядьку.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (54), 21-Июл-25, 15:17
	Так фишинг может везде быть запрятан: 21-й: https://cnews.ru/link/n533617 23-й: https://www.forbes.ru/tekhnologii/484840-group-ib-rasskazala... 24-й: https://cnews.ru/link/n609984
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Фишинг позволил получить контроль над несколькими популярным..."	–1 +/–
Сообщение от Аноним (8), 21-Июл-25, 09:53
Такие атаки должны выявляться браузером: переход на ранее не посещенный адрес, который отличается одной или похожими буквами от адреса в истории посещения.
Ответить | Правка | Наверх | Cообщить модератору

	14. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от dannyD (?), 21-Июл-25, 10:34
	ну да, давай встроим в бровзер ИИ )))
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Tron is Whistling (?), 21-Июл-25, 10:57
	> ну да, давай встроим в бровзер ИИ ))) ИИ уже впору пользующимися всеми этими NPM встраивать...
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (8), 21-Июл-25, 10:59
	ИИ там нам нах не нужон! Нужна довольно примитивная и легковесная эвристика.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	45. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от Аноним (45), 21-Июл-25, 12:31
	Любую твою вристику можно обмануть узнав алгоритм. У ИИ алгоритм скрыт.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (8), 21-Июл-25, 16:00
	Надо чтобы такие убогие атаки, как подмена одной буквы и т.п. не срабатывали. Пусть даже все правила эвристики будут известны.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (32), 21-Июл-25, 11:12
	Уже выявляются. Посмотри настройки какого-нибудь Эджа
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	37. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (45), 21-Июл-25, 11:33
	Браузер никому ничего не должен он уверенный в себе субъект.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	48. "Фишинг позволил получить контроль над несколькими популярным..."	–2 +/–
	Сообщение от Аноним (28), 21-Июл-25, 12:42
	Если человек не пишет код сам, а собирает его по файловым помойкам, ему уже ничто не поможет - ни браузер, ни ИИ, ни браузер с ИИ, не IDE с ИИ или без, ни антивирус. Другое дело - работодателя ситуация устраивает.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от 1 (??), 21-Июл-25, 15:21
	Скоро ИИ будет сам собирать код по файловым помойкам.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от Аноним (61), 21-Июл-25, 16:17
	Не это ли было целью ИИ - проделать дверь изнутри?
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от Аноним (63), 21-Июл-25, 16:41
	Так уже. Разве гитхаб, на которой столуется копилот - не мусорный бак?
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

21. "Фишинг позволил получить контроль над несколькими популярным..."	+3 +/–
Сообщение от Ананимаз (?), 21-Июл-25, 10:57
надеюсь лефтпад не пострадал. Держу кулачки.
Ответить | Правка | Наверх | Cообщить модератору

38. "Фишинг позволил получить контроль над несколькими популярным..."	+3 +/–
Сообщение от Аноним (38), 21-Июл-25, 11:41
Почитайте тикет по ссылке, там целая драма. В ответ на сообщение о нездоровых изменениях и публикации пакетов чел пишет "Похоже что у кого-то утёк токен!". А ему отвечают "Опубликовал эти пакеты ты, так что это наверное твой токен утёк". И он наконец-то раздупляется и сообщает, что стал жертвой фишинга.
Ответить | Правка | Наверх | Cообщить модератору

	42. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от Аноним (28), 21-Июл-25, 12:11
	Это нормальный прием в определенных кругах - сочинять всё новые доводы, пока какой-нибудь из них не убедит собеседника (собеседников). Одни делают вид, что говорят правду, другие делают вид, что им верят.
	Ответить | Правка | Наверх | Cообщить модератору

40. "Фишинг позволил получить контроль над несколькими популярным..."	–1 +/–
Сообщение от Аноним (40), 21-Июл-25, 11:54
Зачем нам клиентский JS, когда есть Траст?
Ответить | Правка | Наверх | Cообщить модератору

51. "Фишинг позволил получить контроль над несколькими популярным..."	–1 +/–
Сообщение от Аноним (51), 21-Июл-25, 13:45
Поэтому логины и пароли нужно хранить в браузере, который не будет автоматически их подставлять в форму, если домен подменили. Когда же они научатся?
Ответить | Правка | Наверх | Cообщить модератору

	52. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
	Сообщение от Аноним (52), 21-Июл-25, 14:29
	Половина сайтов написаны обезьянами и в них пароль не подставляется и без подмены домена, к этому все привыкли, поэтому просто будут вводить пароль на левом сайте.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (4), 21-Июл-25, 14:45
	В localStorage, которое подвержено XSS или где?
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

57. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
Сообщение от Аноним (57), 21-Июл-25, 15:32
Нужна безальтернативная двухфакторная аутентификация по хардварным ключам и криптографические подписи релизов. В идеале, запрет публикации любого  кода, в котором есть непописанные коммиты. Всё остальное полумеры, которые не будут работать.
Ответить | Правка | Наверх | Cообщить модератору

58. "Фишинг позволил получить контроль над несколькими популярным..."	+1 +/–
Сообщение от Аноним (58), 21-Июл-25, 15:44
M и N на клавиатуре рядом находится. Это баг!
Ответить | Правка | Наверх | Cообщить модератору

	62. "Фишинг позволил получить контроль над несколькими популярным..."	+/–
	Сообщение от Аноним (8), 21-Июл-25, 16:29
	Да понятно, что отправитель письма просто опечатался. К нему претензий быть не может ). Виноват невнимательный юзер.
	Ответить | Правка | Наверх | Cообщить модератору

60. "Фишинг позволил получить контроль над несколькими популярным..."	+2 +/–
Сообщение от Аноним (61), 21-Июл-25, 16:15
Как неожиданно, в помойке обнаружены помои!
Ответить | Правка | Наверх | Cообщить модератору

	64. Скрыто модератором	+/–
	Сообщение от Аноним (4), 21-Июл-25, 16:58
	А компост и пёрловый cpan то что? Правильно, ими никто не пользуется, и они на свалке истории.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема