The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Фишинг позволил получить контроль над несколькими популярными NPM-пакетами"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Фишинг позволил получить контроль над несколькими популярными NPM-пакетами"  +/
Сообщение от opennews (??), 21-Июл-25, 09:22 
Зафиксирована фишинг-атака на сопровождающих JavaScript-библиотеки, в ходе которой от имени сервиса NPM было разослано сообщение, уведомляющее о необходимости подтвердить свой email. Проведённая атака позволила злоумышленникам...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63610

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 21-Июл-25, 09:22   +18 +/
Ну а чего вы ждали от людей, считающих нормой подключать библиотеку для проверки четности числа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

2. Сообщение от Аноним (4), 21-Июл-25, 09:23   –1 +/
Интересно, на опеннете постоянно появляются новости про фишинг в npm, а почему про пыховский компост нет новостей: мол, там нет уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11

4. Сообщение от Аноним (4), 21-Июл-25, 09:28   +3 +/
Ты утрируешь немного, но да тот же dayjs получше будет, чем велосипед от васяна для дат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #43, #69

5. Сообщение от Аноним (5), 21-Июл-25, 09:29   –9 +/
1. Никто не считает нормой: is-odd имеет 700,000 установок в неделю, что совсем мало по меркам популярных (часть нормы) пакетов -- десятки миллионов.
2. Библиотеки в npm более узкоспецифичны, и релизятся значительно чаще сишных аналогов. Там, где у си единый комбайн GTK с плеядой функционала, в npm отдельно поставляются: реакт только для возможности создавать компоненты, библиотека для управления дизайн-токенами, библиотека для стилизации, библиотека для отрисовки прикольного одного компонента. Это неплохой подход -- уж точно позволяет обновлять их независимо, а не ждать месяцами, пока комбайн GTK обновится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9, #20, #70, #71

6. Сообщение от Tron is Whistling (?), 21-Июл-25, 09:42   –1 +/
Отличная новость. Лишний раз подтверждает очевидное - норму жизни публичных помоек кода.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #31, #54

8. Сообщение от Аноним (8), 21-Июл-25, 09:53   +/
Такие атаки должны выявляться браузером: переход на ранее не посещенный адрес, который отличается одной или похожими буквами от адреса в истории посещения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #32, #37

9. Сообщение от Аноним (9), 21-Июл-25, 09:55   +/
Сам-то понял, что написал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15

10. Сообщение от жявамэн (ok), 21-Июл-25, 09:56   +/
у нормальных языков все нормально с администрированием репозиторием
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #17

11. Сообщение от penetrator (?), 21-Июл-25, 09:59   –7 +/
так пыха мертвая, доживает свои последние дни в виде крупных проектов прошлых лет

никто не тянет ее на сайт, авторов нет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18, #19, #28

12. Сообщение от Аноним (12), 21-Июл-25, 10:04   +/
По сути сделай такой же сайт - скажут, что зеркало. Имею ввиду публично никто ничего не поймет. Т.к. сейчас блокировки и все остальное.. под шумок - зеркало и все.

Фишинг не лечится обычным путем, т.к. человеческий фактор сразу сыграет в пользу мошенников.

Все же фильтры необходимы. Локальные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #13

13. Сообщение от Tron is Whistling (?), 21-Июл-25, 10:10   +/
Мозги необходимы... локальные...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #16

14. Сообщение от dannyD (?), 21-Июл-25, 10:34   +/
ну да, давай встроим в бровзер ИИ )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #23, #25

15. Сообщение от Аноним (5), 21-Июл-25, 10:40   +4 +/
Что из написанного ты не понял?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #55, #68

16. Сообщение от Аноним (12), 21-Июл-25, 10:47   +/
Человеческий фактор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (4), 21-Июл-25, 10:52   –2 +/
вы хотите сказать, что пых - нормальный язык? может и так, но вот библиотеки на пыхе в компосте пишутся не разработчиками пыха, а васянами со всего света, вот так то! и на пыхе можно по-разному программировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

18. Сообщение от Аноним (4), 21-Июл-25, 10:53   +/
дык, вроде в e-commerce пыха всё ещё активно юзается и в разных сайтиках на laravel, разве нет? не знаю, поэтому спрашиваю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

19. Сообщение от Аноним (-), 21-Июл-25, 10:54   –3 +/
К сожалению все ещё самый популярный язык в вебе. Вся их проблема в том что они сильно усложнили в одной из версий, когда появилась груша, автозагрузчики файлов и много пользователей не разобрались, посчитали что все стало сильно сложно, хотя это правда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Tron is Whistling (?), 21-Июл-25, 10:55   +1 +/
Заодно позволяет аккуратно впилить бэкдор так, что все эти тысячи хомячков, делающие по тысяче загрузок по штуке на сборку после каждой правки - ничего вообще годами не заметят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #22, #24

21. Сообщение от Ананимаз (?), 21-Июл-25, 10:57   +3 +/
надеюсь лефтпад не пострадал. Держу кулачки.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (4), 21-Июл-25, 10:57   +/
А ситуация в пыховом компосте прямо кардинально противоположная?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #34

23. Сообщение от Tron is Whistling (?), 21-Июл-25, 10:57   +/
> ну да, давай встроим в бровзер ИИ )))

ИИ уже впору пользующимися всеми этими NPM встраивать...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

24. Сообщение от Аноним (5), 21-Июл-25, 10:58   +/
Ты же про XZ Utils, верно? Везде, где ты скачиваешь чужой код, есть риски. Но хомячки и далее будут скачивать сгенеренный кем-то тарбол вместо чекаута гита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #27

25. Сообщение от Аноним (8), 21-Июл-25, 10:59   +/
ИИ там нам нах не нужон! Нужна довольно примитивная и легковесная эвристика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #45

27. Сообщение от Tron is Whistling (?), 21-Июл-25, 11:01   –1 +/
Видишь в чём прикол - в XZ Utils таки обнаружили.
А здесь - вложил версию 0.1.2.3.4567890 с бэкдором, подождал ДЕСЯТЬМУЛЬОНОВЗАГРУЗОК, вложил 0.1.2.3.4567891 - 99.99999999999% из этих ДЕСЯТЬМУЛЬОНОВЗАГРУЗОК даже смотреть не будет, чего там изменилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #29

28. Сообщение от Аноним (28), 21-Июл-25, 11:05   –1 +/
> так пыха мертвая, доживает свои последние дни

Зачем так сразу? Но нет ничего невозможного. Учитесь у старших ТОВАРИЩЕЙ - готовьте народ постепенно (окно Овертона).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

29. Сообщение от Аноним (5), 21-Июл-25, 11:05   +/
> в XZ Utils таки обнаружили

Ага, а сабжевая новость про что? Про то, что фишинг не обнаружили? Давай почитаем: "Зафиксирована фишинг-атака..." Значит обнаружили все-таки?

> даже смотреть не будет, чего там изменилось

Посмотри, сколько пакетов установлено у тебя в системе. В любом может быть бэкдор, потому что твой дистр качает сгенеренные тарболы вместо чекаута гита.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #47, #67

31. Сообщение от Аноним (-), 21-Июл-25, 11:09   +/
Да у меня дорогой ребенок недавно вирусняк на Андроид с плей-стор Гугла поставил. О чем речь?
А что вы предлагаете вместо? Вернуться к дискам? Так проблема то была в пиратстве.
Вы знаете я не осуждаю, сам был когда-то мал и беден, и скачивал весьма многие программы и видео (в основном для образования), но если у вашей семьи есть деньги или вы уже взрослый и зарабатываете - кто вам мешает купить, да честно поступить? Вы знаете я даже купил старые книги, которые уже давно прочёл когда денег не было просто чтоб отблагодарить автора (надеюсь это помогло).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #46

32. Сообщение от Аноним (32), 21-Июл-25, 11:12   +/
Уже выявляются. Посмотри настройки какого-нибудь Эджа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

34. Сообщение от Аноним (1), 21-Июл-25, 11:22   +1 +/
Покажи новость про фишинговую атаку на пыховый композер, обсудим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

37. Сообщение от Аноним (45), 21-Июл-25, 11:33   +/
Браузер никому ничего не должен он уверенный в себе субъект.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #48

38. Сообщение от Аноним (38), 21-Июл-25, 11:41   +4 +/
Почитайте тикет по ссылке, там целая драма. В ответ на сообщение о нездоровых изменениях и публикации пакетов чел пишет "Похоже что у кого-то утёк токен!". А ему отвечают "Опубликовал эти пакеты ты, так что это наверное твой токен утёк". И он наконец-то раздупляется и сообщает, что стал жертвой фишинга.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

40. Сообщение от Аноним (40), 21-Июл-25, 11:54   –2 +/
Зачем нам клиентский JS, когда есть Траст?
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (28), 21-Июл-25, 12:11   +1 +/
Это нормальный прием в определенных кругах - сочинять всё новые доводы, пока какой-нибудь из них не убедит собеседника (собеседников). Одни делают вид, что говорят правду, другие делают вид, что им верят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

43. Сообщение от Аноним (43), 21-Июл-25, 12:26    Скрыто ботом-модератором+4 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

45. Сообщение от Аноним (45), 21-Июл-25, 12:31   +1 +/
Любую твою вристику можно обмануть узнав алгоритм. У ИИ алгоритм скрыт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #59

46. Сообщение от Tron is Whistling (?), 21-Июл-25, 12:31   –1 +/
Вирусняк на андроид? Ну так ещё поставьте туда свои банк-клиенты, будет действительно дорогой ребёнок.

А в целом ваш пост - про бузину и дядьку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

47. Сообщение от Tron is Whistling (?), 21-Июл-25, 12:32   +/
Вот как раз чекаут гита лучше и не трогать. Тарбаллы так-то подписаны, и качает он их тьфу-тьфу с мегамонстра (орацл), который ни разу не публичная репо-помойка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

48. Сообщение от Аноним (28), 21-Июл-25, 12:42   –3 +/
Если человек не пишет код сам, а собирает его по файловым помойкам, ему уже ничто не поможет - ни браузер, ни ИИ, ни браузер с ИИ, не IDE с ИИ или без, ни антивирус. Другое дело - работодателя ситуация устраивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #56

51. Сообщение от Аноним (51), 21-Июл-25, 13:45   –2 +/
Поэтому логины и пароли нужно хранить в браузере, который не будет автоматически их подставлять в форму, если домен подменили. Когда же они научатся?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #53

52. Сообщение от Аноним (52), 21-Июл-25, 14:29   +1 +/
Половина сайтов написаны обезьянами и в них пароль не подставляется и без подмены домена, к этому все привыкли, поэтому просто будут вводить пароль на левом сайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

53. Сообщение от Аноним (4), 21-Июл-25, 14:45   +/
В localStorage, которое подвержено XSS или где?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

54. Сообщение от Аноним (54), 21-Июл-25, 15:17   +/
Так фишинг может везде быть запрятан:
21-й: https://cnews.ru/link/n533617
23-й: https://www.forbes.ru/tekhnologii/484840-group-ib-rasskazala...
24-й: https://cnews.ru/link/n609984
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

55. Сообщение от 1 (??), 21-Июл-25, 15:18   +/
Вам не кажется, что npm и GTK попендикулярны ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

56. Сообщение от 1 (??), 21-Июл-25, 15:21   +1 +/
Скоро ИИ будет сам собирать код по файловым помойкам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #61, #63

57. Сообщение от Аноним (57), 21-Июл-25, 15:32   +1 +/
Нужна безальтернативная двухфакторная аутентификация по хардварным ключам и криптографические подписи релизов. В идеале, запрет публикации любого  кода, в котором есть непописанные коммиты. Всё остальное полумеры, которые не будут работать.
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от Аноним (58), 21-Июл-25, 15:44   +1 +/
M и N на клавиатуре рядом находится. Это баг!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

59. Сообщение от Аноним (8), 21-Июл-25, 16:00   +1 +/
Надо чтобы такие убогие атаки, как подмена одной буквы и т.п. не срабатывали. Пусть даже все правила эвристики будут известны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

61. Сообщение от Аноним (61), 21-Июл-25, 16:17   +1 +/
Не это ли было целью ИИ - проделать дверь изнутри?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

62. Сообщение от Аноним (8), 21-Июл-25, 16:29   +/
Да понятно, что отправитель письма просто опечатался. К нему претензий быть не может ).
Виноват невнимательный юзер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

63. Сообщение от Аноним (63), 21-Июл-25, 16:41   +1 +/
Так уже. Разве гитхаб, на которой столуется копилот - не мусорный бак?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

65. Сообщение от Аноним (65), 21-Июл-25, 17:41   +/
Интересно девки пляшут, сервис почти что критической инфраструктуры не имеет даже SPF/DMARC записей в ДНС, что позволяет спокойно слать фишинговые письма (рукалицо)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

66. Сообщение от Аноним (67), 21-Июл-25, 18:24   +1 +/
А вы как хотели? Тыртырпрайз. Сурьёзный бизнес. Сурьёзные дяди проглядели что их рабы, вместо гребли на галерах, были слишком заняты поливанием помоями сообщества в комментариях на Опеннете. Сократят бюджет подхалимам, увеличат - эйчеркам, schеки подсдуются, хвocты подберутся, и всё наладится. (Нет.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

67. Сообщение от Аноним (67), 21-Июл-25, 18:35   +1 +/
И, конечно, все чеканутые коммиты подписаны? Нет? А тарболлы - да.
А если ты исходники после распаковки тарболла не проверил, то и после джит-пулла, очевидно, не проверишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

68. Сообщение от 12yoexpert (ok), 21-Июл-25, 19:38    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

69. Сообщение от morphe (?), 21-Июл-25, 20:38   +/
Все нормальные браузеры уже умеют Temporal API:
https://developer.mozilla.org/en-US/docs/Web/JavaScript/Refe...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

70. Сообщение от Анон1110м (?), 21-Июл-25, 21:58   +1 +/
Весь стэк технологий, который крутится вокруг JavaScript, подозрительно напоминает пародию на идеологию UNIX: куча мелких программ, которые максимально хреново делают свою работу, порой дублируя друг друга. Скорость работы всего этого зоопарка, даже в случае если вы используете только поддерживаемое всеми браузерами подмножество фич, будет давать такой разброс, что пользователи Firefox или IE будут наслаждаться слайд–шоу, пока пользователь Chrome будет выжимать все соки из своего компьютера, проходя простенькую пиксельную аркаду, вроде тех, которые были столь распространены на игровых консолях в 80–х и 90–х годах.

Даже то, единственно хорошее на мой взгляд, что есть в JavaScript, хваленая скорость ноды — и это результат тысяч угробленных человеко–часов на то, чтобы браузер не тормозил, когда Васин сайт бросит ему вызов всеми своими кривонаписанными скриптами. Ну или хотя бы тормозил не так сильно, когда в соседней вкладке будет работать Twitter. Это отчаянная попытка сделать вэб–приложения хоть сколько–то лучше. И эта попытка была не одна — asm.js также был одной из стратегий увеличения производительности JavaScript.

Что больше всего раздражает в JavaScript, так это иллюзия того, что перед вами полноценный язык типа Java или Python. На бумаге есть всё — встроенные в язык регулярные выражения, реализация ООП, пусть и альтернативная, как любят повторять адепты языка. И асинхронность есть — ею все уши прожужжали, а по факту всё это выливается в бесконечное хождение по мукам да лихую пляску на костылях.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

71. Сообщение от Анон1110м (?), 21-Июл-25, 21:59   +/
Весь стэк технологий, который крутится вокруг JavaScript, подозрительно напоминает пародию на идеологию UNIX: куча мелких программ, которые максимально хреново делают свою работу, порой дублируя друг друга. Скорость работы всего этого зоопарка, даже в случае если вы используете только поддерживаемое всеми браузерами подмножество фич, будет давать такой разброс, что пользователи Firefox или IE будут наслаждаться слайд–шоу, пока пользователь Chrome будет выжимать все соки из своего компьютера, проходя простенькую пиксельную аркаду, вроде тех, которые были столь распространены на игровых консолях в 80–х и 90–х годах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

72. Сообщение от Аноним (72), 21-Июл-25, 22:39   +/
Ждем, когда то же самое будут делать с cargo и crates.io.
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру