В репозитории NPM выявлена вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах electorn (255 загрузок), lodashs (78 загрузок), loadyaml (48 загрузок) и loadyml (37 загрузок)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53836

• В репозитории NPM выявлены четыре пакета, пересылающие данны...,дедушка старый, 21:06 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 08:12 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,A.Stahl, 21:10 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:09 , 05-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,A.Stahl, 23:23 , 05-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 21:36 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,слива, 13:34 , 06-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Денис, 15:17 , 06-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 21:37 , 06-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Дерьмократ, 16:21 , 07-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 21:19 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,gogo, 04:23 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Ананимус, 21:26 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,имя_, 21:48 , 05-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Ананимус, 22:03 , 05-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,gogo, 04:25 , 06-Окт-20
        • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Ананимус, 17:13 , 07-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 08:14 , 06-Окт-20
        • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Ананимус, 17:29 , 07-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 21:35 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,онанимуз, 21:42 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:10 , 05-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,bergentroll, 05:44 , 06-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:29 , 06-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,коржик, 07:36 , 07-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,darkshvein, 22:41 , 05-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:01 , 05-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Ordu, 23:15 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,bergentroll, 05:45 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,КО, 06:36 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Денис, 07:53 , 06-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Ordu, 08:30 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:19 , 05-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:28 , 05-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 23:27 , 05-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,MintUser, 04:08 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 08:10 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Денис, 04:40 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Google, 04:53 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Google, 04:54 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Google, 04:52 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 04:55 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,zurapa, 07:22 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 07:38 , 06-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 08:00 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Lex, 08:13 , 06-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Онаним, 09:26 , 06-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 11:13 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Онаним, 09:28 , 06-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Онаним, 09:29 , 06-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Q2W, 09:49 , 06-Окт-20
  • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Lex, 13:51 , 06-Окт-20
    • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Онаним, 15:06 , 06-Окт-20
      • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Онаним, 15:07 , 06-Окт-20
        • В репозитории NPM выявлены четыре пакета, пересылающие данны...,Lex, 15:22 , 08-Окт-20
• В репозитории NPM выявлены четыре пакета, пересылающие данны...,Аноним, 16:05 , 07-Окт-20

А я вам говорил!

https://www.opennet.dev/openforum/vsluhforumID3/122007.html#118

Четыре? Четыре штуки? Не четыре тысячи? Тю, всего-то. Я пользуюсь Андроид телефоном, запускаю виндовые бинарные блобы без всяких песочниц и мои данные светятся во всяких гос.службах от ЖЕКа до налоговой. Пфф, испугали тоже мне... Четыре пакета. Вы ещё скажите что в четырёх километрах от столицы обнаружили контейнер с четырьмя атомами радиоактивного вещества.

Интересно, как это ты запускаешь на Андроеде виндовые ехешники?

Я не запускаю на Андроиде виндовые ехешники.

У него там "," он делает и это и то и возможно другие противозаконные действия.

Скоро в метро будешь оплачивать проход рожей.

В метро могут и паспорт попросить, а если нет, то IMEI от телефона (обожают менты проверять).

Паспорт уже не интересен биометрия пошла в полный рост.

> В метро могут и паспорт попросить, а если нет, то IMEI от
> телефона (обожают менты проверять).

Проверка imei вообще законна?

Выявлены четыре позорных пакета, которые пересылают данные ТОЛЬКО О ПОЛЬЗОВАТЕЛЕ. Все остальыне пересылают всё, к чему имеют доступ!

Таки да. Главное, придумать мало-мальски правдоподобный повод. Типа "нам нужно знать разрешение экрана юзеров для какой-то там фичи"....

Meh. По-моему, кроме того факапа с leftpad, никто так ни разу и не смог распросранить свой зловред через пакетные репозитории с какими-то действительно серьезными последствиями.

https://www.trendmicro.com/vinfo/nz/security/news/cybercrime... хотя бы

Ну там с дюжину подобных историй есть. Импакт-то какой?

Ты настаиваешь, что не нужно креститься, если гром гремит не очень сильно?

> Ты настаиваешь, что не нужно креститься, если гром гремит не очень сильно?

Я хочу сказать, что если security team успевает чинить подобные проблемы раньше, чем они нанесут какой-то существенный вред, значит модель в целом работает хорошо.

хреносимы с ногосракой тоже только две было, у тебя явно не было курса логики в БГУИР с летающими котлетами

> хреносимы с ногосракой тоже только две было, у тебя явно не было
> курса логики в БГУИР с летающими котлетами

Не вижу аналогичных происшествий с npm. Все случившееся на уровне "баба срака сломала себе копчик в попытках вытереть жопу".

в лесу выявлены четыре дерева

this

Это всё, что нужно знать об экосистеме JS.

NPM как-то в корне отличается от PyPI, RubyGems, CPAN etc?

контингентом

Nuget crates и все что с java связано так же внушают куда больше доверия

эм. всего четыре? четыри сотни или 4 тысячи?

В стоге игл  нашли иголки.... следующая новость в толпе людей нашли человека а у человека нашли две руки две ноги

Забавно. Когда аноним опеннета не согласен с комментом, он отвечает на этот коммент и возникает тред. Когда аноним опеннета согласен с комментом, он создаёт новый тред, пытаясь развить тему. Странно, почему так?

В одном случае пытается закидать, во втором — раздуть.

Поэтому это называется комментарии, а не всякие тупые модные новые слова

> Странно, почему так?

Все упражняетесь в психологии?

>> Странно, почему так?
> Все упражняетесь в психологии?

Нет, просто наблюдаю.

Хруст решит эту проблему, усложненная реверсинженерия сделает невозможным для пользователя защитить себя.

Естествнно. А чего ещё ожидать от поделки придуманной неудачниками вендузятниками. Этож их вечная головная боль... ааааа библиотеку поставить, всё, караул, надо звать гуру и взывать к богам. Этож непосильная задача.

Кто бы сомневался.

Главное что выявили. Значит какой то контроль осуществляется. И в последующим будет усилен, предположительно.

Контроль на полном ручном управлении гнилью.

> домашнем каталоге пользователя

В смысле? Название каталога, список файлов или все содержимое? Еще одна причина ничего там не хранить, для этого есть отдельные разделы. Кто перешел с винды, у того так и есть. Разве что NTFS вместо ext4, но это поправимо.

btc waller и $HOME/.ssh*

Чем тебе это поможет от запуска агента reverse NAT shell?

docker run yarn/npm

https://github.com/evilsocket/opensnitch

И вот опять...
Дуршлаг. Весь NPM можно переименовать в Дуршлаг.

Эта проблема касается любых пакетных менеджеров, которые могут выполнять скрипты. По идее их все нужно изолировать в песочнице

https://deno.land/ ( https://github.com/denoland/deno )

Просто надо «внезапно» внимательно смотреть, что на клавиатуре набираешь, когда речь о названиях модулей.

О чём вы. Эти ребята действительно считают, что говнорепозитарии сами за них всё сделают. А уж про ревью зависимостей вообще речи нет. В итоге даже нормальные "честные" зависимости в этих говнорепах меняют API, и говнопроекты разлетаются в хлам.

Нормальные проекты синхронизируют определённые версии зависимостей и производят шаговое обновление с учётом изменений в таковых, гарантируя работоспособность результирующей системы. Кто из тянущих проект любит риск - обновляет их дальше и выступает в роли мейнтейнера bleeding edge кода уже сам. Кто не любит - сидит на стабильных версиях, которые дали мейнтейнеры проекта, и не дёргается.

Это же старый код! Это вчера он был отличным решением и бибикал, а сегодня он уже не тот! Бибикать надо по графику с сайта РЖД и на 2 тона ниже!

npm, cpan, composer-based и прочее, в целом. Все говнорепы зло, если у тебя серьёзный проект - ты берёшь определённые релизные версии прямо с авторских репозитариев, и дальше либо обновляешь с ревью самостоятельно, либо бэкпортишь какие-то фиксы, и т.д.

Нет, допустим можно отдать конфиг композера вместе с проектом и пользоваться композером. Но в самом проекте должен идти код зависимостей, с которым проект однозначно работает.

Мне вот интересно: для js же запилили суперкрутые песочницы в браузерах.
Потом взяли браузерную реализацию js и вынесли из браузера в nodejs.

Так песочницу чё с собой-то не взяли? Сейчас бы устанавливали себе эти модули где-то локально в песочнице каждой приложухи и всё. Безо всяких доступов куда не следует.

> Мне вот интересно: для js же запилили суперкрутые песочницы в браузерах.
> Потом взяли браузерную реализацию js и вынесли из браузера в nodejs.

Там не совсем браузерную реализацию перенесли.
Соль ноды в том, что она поддерживает в т.ч "нативные" модули, тогда как в случае с браузерами - только чистый JS и его подобия.

В данном случае даже не в ноде дело, а в менеджере пакетов.

Просто обычно ожидается, что разработчики хоть изредка, но будут смотреть на то, что пишут и их уровень знания ПК и проч ощутимо выше такового чем у какой-то бабки из деревни, которая только и умеет что новости в тырнете читать.

Вот с "уровнями знания ПК", а если точнее - с умением администрировать системы, пакеты, модули - даже собственных разработок - там обычно полный швах.

Даже придумали модель "каждый девелопер администратор" и "инфраструктура тоже код" - девляпс называется.
Но с учётом квалификации эта модель у них работает так, как и должна - через пень-колоду.

> Даже придумали модель "каждый девелопер администратор" и "инфраструктура тоже код" - девляпс
> называется.
> Но с учётом квалификации эта модель у них работает так, как и
> должна - через пень-колоду.

Работает она вполне нормально, если хотя бы через раз смотреть какой пакет устанавливается( т.е правильно ли набрано его название ).
И, в первую очередь, применять лишь хорошо известные и популярные модули с постоянным большим количеством скачиваний( т.е если скачиваний ок 20 / нед - это по-любому васяновский пакет с черти чем внутри ).. и, в цело, стремиться использовать пакетов столь мало, сколь это возможно.

А если не смотреть - так тут и достаточно и просто выхода в интернет с вводом адреса типа мой_любимый_банкК.ком и никакой ноды с энпиэмом не нужно )

Молодцы! Оперативно прореагировали. У многих, у тех у кого чёрная душа, пердаки полопались.

Крякер! Не лезь в Свободное программное обеспечение! Тысяча глаз вам наваляют!