https://www.opennet.ru/openforum/vsluhforumID3/137787.html История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63854<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#28 Thu, 11 Sep 2025 07:33:04 GMT Интересно что самый древний и большой maven central тоже не ломали вот так, потому что в JVM все сложнее и сложнее взять и подменить функцию отправки http запроса. А вот во всяких python-ruby-php-javascript мусорке это может сделать любой пакет без объявления войны. Вот где простор для стиллеров<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#27 Thu, 11 Sep 2025 05:33:22 GMT Только у ru[S]t ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#26 Thu, 11 Sep 2025 04:41:38 GMT А автор serde_rs, который пытался протащить подстановку скачиваемых непонятно откуда блобов вместо компиляции своей либы из исходных текстов, он сильно умный?<br><br>Когда количество лиц не ограничено - всегда найдутся те, кто вводят пароли-ключи на фишинговых сайтах, суют в комп неронятные флешки, качают с первой ссылки гугла пиратский фотошоп, и т.д и т.п. И всякие многофакторные аутентификации с капчой и анальным зондом только размывают ответственность и заставляют много приседать, но кроме имитации бурной деятельности по имитации безопасности не дадут.<br><br>Rust просто не популярен, а так его crates ничем принципиально не отличается от pip или npmjs.<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#25 Wed, 10 Sep 2025 19:11:12 GMT &gt; Это же нода, - в названии S, это Security.<br><br>C/C++? Java? Net? У кого из них есть [S]ecurity?<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#24 Wed, 10 Sep 2025 17:33:21 GMT Сами попейте таблетки: крупные поставщики API для инференса недавно обнаружили использование моделей в качестве атаки червём. После чего уже на GitHub в Actions сама MS обнаружили червяка. Но для такой тупой атаки (просмотр файловой системы текстов и вычленение всех полезных для эксплуатации credentials) крупные модели не нужны, достаточно очень мелкой модели.<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#23 Wed, 10 Sep 2025 15:38:03 GMT &gt; Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.<br>&gt; На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.<br><br>На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не ухудшились.<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#22 Wed, 10 Sep 2025 14:49:45 GMT А ничего что новость не про rust?<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#21 Wed, 10 Sep 2025 14:49:09 GMT А что ты сделаешь если разработчики идиоты и ведутся на фишинг? От этого ничего не спасёт. Изолировать компрометации тоже не получится - даже если пинить версии зависимостей их всё равно когда-нибудь придётся обновлять, а в момент когда ты их обновляешь ты можешь схватить скомпрометированную версию.<br> https://www.opennet.ru/openforum/vsluhforumID3/137787.html#20 Wed, 10 Sep 2025 13:25:17 GMT Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare<br>