Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"	+/–
Сообщение от opennews (??), 25-Ноя-25, 14:16
Зафиксирована вторая атака на пакеты в  репозитории NPM, проводимая с  использованием  модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64322
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 25-Ноя-25, 14:18	+12 +/–
Никогда не было, и вот опять.¯\_(ツ)_/¯
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

3. Сообщение от Байкал электроникс (-), 25-Ноя-25, 14:26    Скрыто ботом-модератором	–1 +/–
А вот сидели бы на эльбрусе, который как известно не имеет аналогов, и не было бы всех этих проблем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от Аноним (6), 25-Ноя-25, 14:27	+/–
Это вполне предсказуемо.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 25-Ноя-25, 14:28	–1 +/–
Он что настолько специфичен, что на нём даже node.js не запустить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #62, #68

7. Сообщение от Лиечка (?), 25-Ноя-25, 14:28	+/–
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

9. Сообщение от Аноним (9), 25-Ноя-25, 14:36	–3 +/–
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #25, #32

10. Сообщение от Аноним (10), 25-Ноя-25, 14:38	–1 +/–
Еще один довод юзать *.deb.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #22

12. Сообщение от X512 (?), 25-Ноя-25, 14:42	+/–
Все дружно переходим на Maven.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

14. Сообщение от Rev (ok), 25-Ноя-25, 14:49	–2 +/–
Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #23, #37, #55

15. Сообщение от Аноним (15), 25-Ноя-25, 14:51	+/–
Так, и как с этим бороться ? https://opennet.ru/63930-npm
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #64

17. Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57	–1 +/–
Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18, #57

18. Сообщение от Аноним (9), 25-Ноя-25, 14:59	–1 +/–
У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #56

19. Сообщение от Кошкажена (?), 25-Ноя-25, 15:07	+2 +/–
npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

20. Сообщение от Аноним (20), 25-Ноя-25, 15:08	+3 +/–
Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

21. Сообщение от Фонтимос (?), 25-Ноя-25, 15:09	+/–
Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

22. Сообщение от Кошкажена (?), 25-Ноя-25, 15:10	+/–
На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #59

23. Сообщение от Кошкажена (?), 25-Ноя-25, 15:10	+3 +/–
Но это не точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

25. Сообщение от Кошкажена (?), 25-Ноя-25, 15:11	+2 +/–
> У Go хотя бы подход децентрализованный Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #30, #52

30. Сообщение от Аноним (9), 25-Ноя-25, 15:29	–1 +/–
>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется? Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #34, #36

32. Сообщение от Аноним (32), 25-Ноя-25, 15:36    Скрыто ботом-модератором	+/–
Недооцененный комментарий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

34. Сообщение от Rev (ok), 25-Ноя-25, 15:40	+3 +/–
Cargo тоже может тянуть с гитхаба или другой репы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #73

36. Сообщение от анон (-), 25-Ноя-25, 15:41	+/–
> То ли дело cargo, тянет только из crates.io. Или тот же PyPI. будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #71

37. Сообщение от Аноним (37), 25-Ноя-25, 15:44	+/–
Не выше 20. Иначе, им Раст был бы незачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #54

38. Сообщение от User (??), 25-Ноя-25, 15:46	+/–
> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача > вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. > Обновления только по делу. Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если  вот и кода нет - то прям совсем хорошо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

43. Сообщение от Аноним (43), 25-Ноя-25, 15:58	+1 +/–
Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

44. Сообщение от Анонис (?), 25-Ноя-25, 16:05	+/–
Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от 1 (??), 25-Ноя-25, 16:20	+/–
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Марк Цукерберг (?), 25-Ноя-25, 16:25	+/–
червь-peedor
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (48), 25-Ноя-25, 16:37	+3 +/–
Это безопасная компрометация, ошибок памяти нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

49. Сообщение от IdeaFix (ok), 25-Ноя-25, 16:46	+1 +/–
Молодежь.... заклеить надо на дискете дырочку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #65, #69

50. Сообщение от Sorlag (?), 25-Ноя-25, 16:46	–2 +/–
А зачем нужен NPM когда есть pacman, apt и rpm/yum/dnf?
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (51), 25-Ноя-25, 16:48    Скрыто ботом-модератором	+1 +/–
Ну ладно шаи хулуд, отлично, на*рал спайсом видимо. ОК. Но сам спайс то где? куда спайс подевали?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

52. Сообщение от Аноним (52), 25-Ноя-25, 16:54	+/–
И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится. И если не устраивает сервер по умолчанию то можно и свой поднять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

53. Сообщение от Соль земли2 (?), 25-Ноя-25, 17:04	–2 +/–
Сэкономили на сканере уязвимостей в CI/CD. Скупой платит дважды.
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (54), 25-Ноя-25, 17:05	+/–
Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

55. Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:08	+/–
Притом, что даже стандартизированного теста для его определения нет ) А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

56. Сообщение от Смузихлеб забывший пароль (?), 25-Ноя-25, 17:10	+/–
> Для проведения атаки злоумышленники путём фишинга... Ну да, жс во всём виноват
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

57. Сообщение от Аноним (57), 25-Ноя-25, 17:34	+/–
В Debian как раз каждой зависимости отдельный пакет положен. Как пример: https://packages.debian.org/trixie/node-axios То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

58. Сообщение от Скушный аноним (?), 25-Ноя-25, 17:39	+/–
Это либо вредоносы научились злиться, либо создатель злится удалённо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #63, #66

59. Сообщение от Аноним (57), 25-Ноя-25, 17:43	+/–
Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

60. Сообщение от Аноним (60), 25-Ноя-25, 17:53    Скрыто ботом-модератором	+/–
Нам нужен Пол Атрейдес.
Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от нах. (?), 25-Ноя-25, 18:04    Скрыто ботом-модератором	+/–
Наконец-то нормальные новости про этовашеопенсосие, а не как всегда!
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от нах. (?), 25-Ноя-25, 18:18	–3 +/–
> Он что настолько специфичен, что на нём даже node.js не запустить? э... как бы это тебе... ну в общем он ни разу ни одна из трех-с-половниой архитектур (линукс на x86-64, винда, винда и макось) на которых нормально работает хромог. А поскольку v8 это кусок ядра хромога как попало выдранный оттуда жабоскрипт гениями - то все это верно и для него. Но мудрые в башне работали не покладая рук (или это хвосты?) и некая лавочка "ЮниПро" еще в 18м году гордо объявила что они сделали работающий порт, и в нем даже все-превсе тесты работают. Правда... в семь раз медленнее интела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

63. Сообщение от нах. (?), 25-Ноя-25, 18:19	+/–
> Это либо вредоносы научились злиться, либо создатель злится удалённо. ну брось, создатель, он нетакой. Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться. В принципе, совершенно правильно надеется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

64. Сообщение от нах. (?), 25-Ноя-25, 18:22	+/–
> Так, и как с этим бороться ? Возглавь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

65. Сообщение от нах. (?), 25-Ноя-25, 18:23	+/–
> Молодежь.... заклеить надо на дискете дырочку. вчерародившийся! Кольцо сорвать надо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

66. Сообщение от Фняк (?), 25-Ноя-25, 18:24	+/–
Скорее простейшая защита от изучения в песочницах и honeypot-ов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

67. Сообщение от нах. (?), 25-Ноя-25, 18:25    Скрыто ботом-модератором	+/–
> Ну ладно шаи хулуд, отлично, на*рал спайсом видимо. ОК. Но сам спайс > то где? куда спайс подевали? как куда? Харконен им вчера весь вечер харкал!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

68. Сообщение от ЭльбрусЖиви (?), 25-Ноя-25, 18:26    Скрыто ботом-модератором	+/–
> Он что настолько специфичен, что на нём даже node.js не запустить? Большинство популярных виртуальных машин, включая V8, с e2k дружат примерно как кот с пылесосом — никак. А вот под x86 и ARM они вылизаны до блеска десятками человеко‑лет кропотливого пердолинга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

69. Сообщение от Аноним (69), 25-Ноя-25, 18:33	+/–
Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #74

70. Сообщение от Аноним (70), 25-Ноя-25, 18:34	+/–
Пока на Rust не перепишут, так и будет. Керниган с Ричи не дадут соврать.
Ответить | Правка | Наверх | Cообщить модератору

71. Сообщение от Юрий (??), 25-Ноя-25, 18:35	+/–
Поисковик заблокирован?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #72

72. Сообщение от Юрий (??), 25-Ноя-25, 18:36	+/–
Простите, не туда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

73. Сообщение от Аноним (-), 25-Ноя-25, 18:38    Скрыто ботом-модератором	+/–
Но Войны-Супротив-Раста об этом не знают. Это ж надо документацию почитать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

74. Сообщение от нах. (?), 25-Ноя-25, 19:02	+/–
в смысле? Сто раз так делали! Не тратить же пол-дня на новую заявку ради одной перфокарты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема