The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"  +/
Сообщение от opennews (??), 25-Ноя-25, 14:16 
Зафиксирована вторая атака на пакеты в  репозитории NPM, проводимая с  использованием  модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64322

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +12 +/
Сообщение от Аноним (2), 25-Ноя-25, 14:18 
Никогда не было, и вот опять.¯\_(ツ)_/¯
Ответить | Правка | Наверх | Cообщить модератору

48. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +3 +/
Сообщение от Аноним (48), 25-Ноя-25, 16:37 
Это безопасная компрометация, ошибок памяти нету.
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  –1 +/
Сообщение от Байкал электроникс (-), 25-Ноя-25, 14:26 
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  –1 +/
Сообщение от Аноним (6), 25-Ноя-25, 14:28 
Ответить | Правка | Наверх | Cообщить модератору

62. Скрыто модератором  –3 +/
Сообщение от нах. (?), 25-Ноя-25, 18:18 
Ответить | Правка | Наверх | Cообщить модератору

68. Скрыто модератором  +/
Сообщение от ЭльбрусЖиви (?), 25-Ноя-25, 18:26 
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

5. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (6), 25-Ноя-25, 14:27 
Это вполне предсказуемо.
Ответить | Правка | Наверх | Cообщить модератору

7. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Лиечка (?), 25-Ноя-25, 14:28 
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
Ответить | Правка | Наверх | Cообщить модератору

58. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Скушный аноним (?), 25-Ноя-25, 17:39 
Это либо вредоносы научились злиться, либо создатель злится удалённо.
Ответить | Правка | Наверх | Cообщить модератору

63. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от нах. (?), 25-Ноя-25, 18:19 
> Это либо вредоносы научились злиться, либо создатель злится удалённо.

ну брось, создатель, он нетакой.
Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться.

В принципе, совершенно правильно надеется.

Ответить | Правка | Наверх | Cообщить модератору

66. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Фняк (?), 25-Ноя-25, 18:24 
Скорее простейшая защита от изучения в песочницах и honeypot-ов
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

9. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –3 +/
Сообщение от Аноним (9), 25-Ноя-25, 14:36 
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
Ответить | Правка | Наверх | Cообщить модератору

14. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –2 +/
Сообщение от Rev (ok), 25-Ноя-25, 14:49 
Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
Ответить | Правка | Наверх | Cообщить модератору

23. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +3 +/
Сообщение от Кошкажена (?), 25-Ноя-25, 15:10 
Но это не точно.
Ответить | Правка | Наверх | Cообщить модератору

37. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (37), 25-Ноя-25, 15:44 
Не выше 20. Иначе, им Раст был бы незачем.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

54. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (54), 25-Ноя-25, 17:05 
Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.
Ответить | Правка | Наверх | Cообщить модератору

55. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:08 
Притом, что даже стандартизированного теста для его определения нет )
А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть
А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +2 +/
Сообщение от Кошкажена (?), 25-Ноя-25, 15:11 
> У Go хотя бы подход децентрализованный

Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

30. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –1 +/
Сообщение от Аноним (9), 25-Ноя-25, 15:29 
>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

Ответить | Правка | Наверх | Cообщить модератору

34. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +3 +/
Сообщение от Rev (ok), 25-Ноя-25, 15:40 
Cargo тоже может тянуть с гитхаба или другой репы.
Ответить | Правка | Наверх | Cообщить модератору

73. Скрыто модератором  +/
Сообщение от Аноним (-), 25-Ноя-25, 18:38 
Ответить | Правка | Наверх | Cообщить модератору

36. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от анон (-), 25-Ноя-25, 15:41 
> То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

71. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Юрийemail (??), 25-Ноя-25, 18:35 
Поисковик заблокирован?
Ответить | Правка | Наверх | Cообщить модератору

72. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Юрийemail (??), 25-Ноя-25, 18:36 
Простите, не туда.
Ответить | Правка | Наверх | Cообщить модератору

52. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (52), 25-Ноя-25, 16:54 
И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится.
И если не устраивает сервер по умолчанию то можно и свой поднять.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

32. Скрыто модератором  +/
Сообщение от Аноним (32), 25-Ноя-25, 15:36 
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –1 +/
Сообщение от Аноним (10), 25-Ноя-25, 14:38 
Еще один довод юзать *.deb.
Ответить | Правка | Наверх | Cообщить модератору

17. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –1 +/
Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57 
Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
Ответить | Правка | Наверх | Cообщить модератору

18. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –1 +/
Сообщение от Аноним (9), 25-Ноя-25, 14:59 
У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
Ответить | Правка | Наверх | Cообщить модератору

56. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:10 
> Для проведения атаки злоумышленники путём фишинга...

Ну да, жс во всём виноват

Ответить | Правка | Наверх | Cообщить модератору

57. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (57), 25-Ноя-25, 17:34 
В Debian как раз каждой зависимости отдельный пакет положен. Как пример:
https://packages.debian.org/trixie/node-axios

То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

22. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Кошкажена (?), 25-Ноя-25, 15:10 
На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

59. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (57), 25-Ноя-25, 17:43 
Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт?
Ответить | Правка | Наверх | Cообщить модератору

12. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от X512 (?), 25-Ноя-25, 14:42 
Все дружно переходим на Maven.
Ответить | Правка | Наверх | Cообщить модератору

21. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Фонтимос (?), 25-Ноя-25, 15:09 
Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.
Ответить | Правка | Наверх | Cообщить модератору

15. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (15), 25-Ноя-25, 14:51 
Так, и как с этим бороться ?
https://opennet.ru/63930-npm
Ответить | Правка | Наверх | Cообщить модератору

20. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +3 +/
Сообщение от Аноним (20), 25-Ноя-25, 15:08 
Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?
Ответить | Правка | Наверх | Cообщить модератору

64. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от нах. (?), 25-Ноя-25, 18:22 
> Так, и как с этим бороться ?

Возглавь!

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

19. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +2 +/
Сообщение от Кошкажена (?), 25-Ноя-25, 15:07 
npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.
Ответить | Правка | Наверх | Cообщить модератору

38. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от User (??), 25-Ноя-25, 15:46 
> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача
> вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор.
> Обновления только по делу.

Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если  вот и кода нет - то прям совсем хорошо!

Ответить | Правка | Наверх | Cообщить модератору

43. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +1 +/
Сообщение от Аноним (43), 25-Ноя-25, 15:58 
Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.
Ответить | Правка | Наверх | Cообщить модератору

49. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +1 +/
Сообщение от IdeaFix (ok), 25-Ноя-25, 16:46 
Молодежь.... заклеить надо на дискете дырочку.
Ответить | Правка | Наверх | Cообщить модератору

65. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от нах. (?), 25-Ноя-25, 18:23 
> Молодежь.... заклеить надо на дискете дырочку.

вчерародившийся! Кольцо сорвать надо!

Ответить | Правка | Наверх | Cообщить модератору

69. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (69), 25-Ноя-25, 18:33 
Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея...
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

74. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от нах. (?), 25-Ноя-25, 19:02 
в смысле? Сто раз так делали! Не тратить же пол-дня на новую заявку ради одной перфокарты!
Ответить | Правка | Наверх | Cообщить модератору

44. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +1 +/
Сообщение от Анонис (?), 25-Ноя-25, 16:05 
Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!
Ответить | Правка | Наверх | Cообщить модератору

46. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от 1 (??), 25-Ноя-25, 16:20 
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.
Ответить | Правка | Наверх | Cообщить модератору

47. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Марк Цукерберг (?), 25-Ноя-25, 16:25 
червь-peedor
Ответить | Правка | Наверх | Cообщить модератору

50. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –2 +/
Сообщение от Sorlag (?), 25-Ноя-25, 16:46 
А зачем нужен NPM когда есть pacman, apt и rpm/yum/dnf?
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +1 +/
Сообщение от Аноним (51), 25-Ноя-25, 16:48 
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +/
Сообщение от нах. (?), 25-Ноя-25, 18:25 
Ответить | Правка | Наверх | Cообщить модератору

53. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  –2 +/
Сообщение от Соль земли2 (?), 25-Ноя-25, 17:04 
Сэкономили на сканере уязвимостей в CI/CD. Скупой платит дважды.
Ответить | Правка | Наверх | Cообщить модератору

60. Скрыто модератором  +/
Сообщение от Аноним (60), 25-Ноя-25, 17:53 
Ответить | Правка | Наверх | Cообщить модератору

61. Скрыто модератором  +/
Сообщение от нах. (?), 25-Ноя-25, 18:04 
Ответить | Правка | Наверх | Cообщить модератору

70. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (70), 25-Ноя-25, 18:34 
Пока на Rust не перепишут, так и будет. Керниган с Ричи не дадут соврать.
Ответить | Правка | Наверх | Cообщить модератору

75. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."  +/
Сообщение от Аноним (75), 25-Ноя-25, 19:04 
А вот если бы nom был бы написан на раст то он был бы безопасным
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру