Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски"	+/–
Сообщение от opennews (ok), 10-Сен-25, 08:44
История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг   учётных данных  сопровождающего NPM-пакеты  проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63854
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+3 +/–
Сообщение от Жироватт (ok), 10-Сен-25, 08:44
Шо, опять? Никогда ж такого не было - и вот опять. А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим
Ответить | Правка | Наверх | Cообщить модератору

	7. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от localhostadmin (ok), 10-Сен-25, 09:51
	Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от пох. (?), 10-Сен-25, 10:06
	да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может. Это тебе не нескучный js.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Аноним (9), 10-Сен-25, 10:14
	Юные хакеры просто не смогли написать код, на который боров не жалуется.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	20. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от vvwvv (?), 10-Сен-25, 16:25
	Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	17. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	–1 +/–
	Сообщение от Rev (ok), 10-Сен-25, 15:27
	> А, между прочим, карго так активно еще не ломали... Потому, что порог входа сильно выше, чем в JS. На расте пишут самые умные, их сложнее обмануть и выудить учётные данные.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	19. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	–1 +/–
	Сообщение от Аноним (19), 10-Сен-25, 16:12
	Не. Что бы писать на расте умным быть не надо, в этом одно из его преимуществ. Он доступен всем. Чуть сложнее какой-нибудь Java. Дело не в том, что пишущие на расте - умные. Дело в том, что отказывающиеся на нём писать - не сильно умные. Другими словами, не надо много ума, что пользоваться смартфоном. Но надо много неума, что бы отказываться им пользоваться.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (2), 10-Сен-25, 08:56
А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+4 +/–
	Сообщение от Diozan (ok), 10-Сен-25, 09:28
	Взломанная СУБД - это уже не просто СУБД и не только СУБД....
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от 1 (??), 10-Сен-25, 09:29
	Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	6. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (6), 10-Сен-25, 09:44
	Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. Скрыто модератором	+1 +/–
Сообщение от 63506 (?), 10-Сен-25, 09:26
Да-уж, неделька ужасов для хипстеров идет. Ждем продолжения банкета на соседних зумерских площадках.
Ответить | Правка | Наверх | Cообщить модератору

10. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (10), 10-Сен-25, 10:31
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся. На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.
Ответить | Правка | Наверх | Cообщить модератору

	22. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (22), 10-Сен-25, 17:49
	А ничего что новость не про rust?
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (-), 10-Сен-25, 18:38
	> Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся. > На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется. На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не ухудшились.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (11), 10-Сен-25, 11:29
А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?
Ответить | Правка | Наверх | Cообщить модератору

	12. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Аноним (12), 10-Сен-25, 11:52
	Ну айпишник очередной ВЧ и что дальше?
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (2), 10-Сен-25, 13:49
	дальше звоним Бибе
	Ответить | Правка | Наверх | Cообщить модератору

13. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (13), 10-Сен-25, 13:13
пора антивирус для JS делать)
Ответить | Правка | Наверх | Cообщить модератору

	15. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Tron is Whistling (?), 10-Сен-25, 14:16
	rm -rf сойдёт?
	Ответить | Правка | Наверх | Cообщить модератору

16. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
Сообщение от Аноним (16), 10-Сен-25, 15:12
И опять NPM... Может, пора что-то делать.
Ответить | Правка | Наверх | Cообщить модератору

	18. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	–1 +/–
	Сообщение от AleksK (ok), 10-Сен-25, 16:00
	Микрософт как царь Мидас. Только тот все превращал в золото, а Микрософт все превращает в г**но. Даже винда, в тестах на 15% медленнее убунту оказалась.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (22), 10-Сен-25, 17:49
	А что ты сделаешь если разработчики идиоты и ведутся на фишинг? От этого ничего не спасёт. Изолировать компрометации тоже не получится - даже если пинить версии зависимостей их всё равно когда-нибудь придётся обновлять, а в момент когда ты их обновляешь ты можешь схватить скомпрометированную версию.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема