URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 122384
[ Назад ]
Исходное сообщение
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено opennews , 10-Ноя-20 13:55 
В репозитории NPM выявлен вредоносный пакет discord.dll, который оставался незамеченным 5 месяцев, но был загружен лишь около 100 раз. Пакет включал скрипт, активируемый после установки (postinstall) и передающий некоторые локальные файлы через webhook к мессенджеру Discord. Передавались файлы профиля пользователя и БД в формате leveldb из каталогов браузеров на базе движка Chromium (Chrome, Opera, Yandex Browser, Brave) и приложения Discord, а также информация о системе и IP-адресе жертвы. Метод передачи данных в discord.dll во многом напоминает вредоносный пакет fallguys, выявленный] в августе...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54061

Содержание
Сообщения в этом обсуждении
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 13:57 
> пытаются запустить исполняемые файлы bd.exe, dropper.exe и lib.exe

Под вайном работает? И кстати, зачем это на опеннете? Я конечно понимаю что тема dll/exe актуальна для почти всех посетителей сайта, но вроде его тематика слегка о другом.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Какаянахренразница , 10-Ноя-20 14:24 
Меня вычеркивайте. Ни на одном из моих компьютеров нет винды.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 15:21 
А тебе не впадлу с бедными общаться? Шёл бы уж к своим.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 15:32 
Да он-то как раз среди своих: в комментах сплошное троллоло и школоло. И не убеждайте меня, что это не результат удаленки и досрочных каникул в школах
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Michael Shigorin , 10-Ноя-20 15:49 
> А тебе не впадлу с бедными общаться? Шёл бы уж к своим.

"...и пошла Василиса Прекрасная
туда,
куда Василиса Премудрая не осмелилась бы..."
(ц)

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено jOKer , 10-Ноя-20 17:53 
Ну зачем же вы так жестко опуск... гм... смущаете тех, у кого нет ни денег на Яблоко, ни мозгов для дружбы с Пингвином? Добрее надо быть, добрее. Добрее и толерантнее. Они и так уже судьбой обижены, - понимать надо.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 20:57 
Тебе надо - ты их и понимай. Да и огрызок-то всего-лишь в 2 раза дороже. А иногда - даже дешевле.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 02:26 
И тебе поможем.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 09:00 
в моем случае раз в 10 дороже
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 12-Ноя-20 19:12 
На малинке сидишь?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено имя_ , 10-Ноя-20 14:50 
тематика опенсорса, поделки на ноде - тоже опенсорс
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Dzen Python , 10-Ноя-20 15:39 
Нет, требует vcredist 2019
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено anonymous , 11-Ноя-20 10:31 
А что, открытый/свободный софт не может собираться и работать в проприетарщине?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено InuYasha , 10-Ноя-20 13:58 
Новость можно добавить в crontab, приписав в заголовок слово "очередной". :)
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:00 
> bd.exe, dropper.exe и lib.exe

B crontab.exe

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Dzen Python , 10-Ноя-20 15:37 
Фу. В taskeng.exe
А созавать новость нужно исключительно через at
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено user , 11-Ноя-20 18:36 
schtasks уже давно. At- deprecated
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено PnD , 12-Ноя-20 11:08 
> cnf schtasks

schtasks: команда не найдена

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 12-Ноя-20 00:35 
Мне непонятно, нафига вообще такие новости и кого они волнуют. Ладно бы какой-нибудь популярный пакет затроянили, а такое... неужели до сих пор непонятно, что нпм немодерируемый, туда кто угодно может залить что угодно?

С таким же успехом можно каждый час писать новости типа «на мегааплоад залили троян».

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:01 
npm это зло
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Dzen Python , 10-Ноя-20 15:48 
Технология не есть зло.
Софт, овеществливающий технологию не есть зло.
Сторонние данные, которыми оперирует софт не есть зло.
Разрабы, позволяющие людям заливать свои наработки без анальных допросов не есть зло.
Гнилая сущность человека, воюющего со всем миром ради кусочка ресурсов, и готовая ради этого отравить общий колодец, общий котел с данными - зло.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Михрютка , 10-Ноя-20 17:10 
а правила грамматики, требующая согласования причастных - вообще абсолютное зло.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 09:52 
Как помочь несчастным:
1. Делаешь ошибку в тексте.
2. Люди радуются, что они умнее тебя, на минуту забывают, что их жизнь говно.
3. Улыбаешься.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено зло , 12-Ноя-20 16:27 
>you don't have to fire your it department, you can fire the internet

Отличная апология saas-убожеств

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено СССР , 12-Ноя-20 23:20 
создать технологию через которую пользователи хапают какашки
потом сказать что зло это не технология а человек
тем кто успел на эту какашку наступить уже все ровно что есть зло. просто сделает выводы и задумается что такое хайповые технологии а что такоео проверенные технологии.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:05 
хоспаде, да сколько можно-то
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:29 
Пока существует npm в нынешнем виде. Еще неизвестно сколько ты оттуда уже вытянул троянов, но не знаешь об этом.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:41 
Какие есть альтернативы и решения лучше?

Проблема зависимостей зависимостей ни кем не решена.

Да и вообще всё что сказано про npm также относится и к pip, autoconf, crate.

Разве что в C++ чтобы что-то поставить можно потратить пару часов. Но это такая себе защита.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:47 
Эпл стор. Точно такие же дополнения для телефона как и дополнения для джаваскрипт. Только в эпл сторе почему-то нет троянов которые прикидываются дллками для других приложений.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено НяшМяш , 10-Ноя-20 15:21 
В принципе 100$ это хорошая плата за входной билет. Всех кто не заплатил - удалять. /s
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 19:10 
В год, а не просто 1 раз!
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 15:29 
> Только в эпл сторе почему-то нет троянов

Там скоро вообще ничего оне будет. Возможно, даже браузеров.

https://habr.com/ru/news/t/527182/

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Урри , 11-Ноя-20 00:32 
Ага, конечно, прям щас.

Лично я впихивал в апликуху таймаут на запрещенный показ сторонней рекламы в две недели, чтобы пройти ревью эплстора (каюсь, был молод и сильно нужны были деньги). С ревьюверами тоже неплохо познакомился - эти тупые копеечные индусы вообще ни на что не способны, кроме как ходить по инструкции. Один из них, например, докопался до юмористичного "яблоки" и "бабаны" в одной из форм (вы не можете использовать ничего что напоминало бы торговые марки эпла), но пропустил забытую не отключенную телеметрию о всей айоси.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 09:56 
Даже индус действующей по инструкции (а по чему же ему еще действовать) способен выявить тайпсквоттинг.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Dzen Python , 10-Ноя-20 15:41 
Построение репозиториев лунтикса, где у каждого пакета есть как минимум ответственный доверенный сопровождающий (известный по своему реальному ФИО и с которым можно в любое время связаться) и минимальное тестирование (аур и другие помойки - не в счет, хотя даже там есть понятие как TU)?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 18:02 
> всё что сказано про npm также относится и к pip, autoconf, crate.

autoconf-то каким боком? Он ниоткуда зависимости не выкачивает. И вообще ничего не выкачивает.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 02:51 
autoconf имеет полноценный язык программирования m4 внутри.

Вы запускаете сборку и процесс имеет полные права на ваш $HOME, откуда можно что угодно стянуть как и в сабже.

Как бы вообще понимаете что сборка проекта ничего плохого не делает? Проверяете огромные портянки билд скриптов?

Разница сабжа и проекта с autoconf (такая же библиотека, которая обещает discord) - в npm можно сделать одной командой. Других отличий нет.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 18:58 
Разница в том, что ты запускаешь только код из проекта, разработчикам которого доверяешь. Если не доверяешь, на фига тебе вообще это собирать? Ты ведь полученный бинарь запускать собрался, небось? Точно так же и он сам может оказаться трояном.
В случае npm без спроса выполняется код, получаемый по огромному и не поддающемуся контролю дереву зависимостей, написанный разными разработчиками, установить личности которых зачастую не представляется возможным.

И, кстати, если ты не гентушник или слакварщик, сборка обычно происходит не на рабочей системе, а в изолированном одноразовом окружении (в chroot, контейнере, виртуалке). Но это уже второстепенно.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено YetAnotherOnanym , 10-Ноя-20 18:42 
> Проблема зависимостей зависимостей ни кем не решена

Решена теми, кто хочет решать. Если установщик допускает прибитие гвоздями верифицированной версии (как это есть, например, в rebar), то разраб может проверить работоспособность и отсутствие бяк в определённых версиях зависимостей и прописать в конфиге установщика версию и её хэш для каждой зависимости.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 19:34 
> Если установщик допускает прибитие гвоздями верифицированной версии

В npm так и есть, но новость о другом.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено YetAnotherOnanym , 11-Ноя-20 10:00 
> В npm так и есть

Тогда это всё напоминает анекдот: девушку с плоской грудью спрашивают "Сиськи есть?" - "Есть" - "А чё не носишь?".

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 17:09 
У тебя какая-то каша в голове. Бери и фиксируй версию пакета в package.json, причем тут твой поток мыслей то?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено YetAnotherOnanym , 12-Ноя-20 10:34 
> У тебя какая-то каша в голове. Бери и фиксируй версию пакета в
> package.json, причем тут твой поток мыслей то?

Так это я должен фиксировать версию пакета? А я как-то ожидал, что это должен делать составитель пакета, в котором используется зависимость.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 19:14 
А разве номера версий не прописываются в package-lock.json чтобы последующие npm install устанавливали ту же самую версию?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 12-Ноя-20 14:40 
Так и есть, просто YetAnotherOnanym пытается спорить о том, в чем не разбирается.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Likern , 10-Ноя-20 19:56 
Т.е. тоже самое, что и в npm?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено YetAnotherOnanym , 11-Ноя-20 09:45 
> Т.е. тоже самое, что и в npm?

По-видимому, не совсем то же самое, если npm регулярно оскандаливается, в отличие от, например hex.pm.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено СССР , 12-Ноя-20 23:24 
от 2 мин до пару часов. Если библиотеках без заморочек то пару мин. в чем проблема?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено ryoken , 10-Ноя-20 14:09 
>> Передавались файлы профиля пользователя и БД в формате leveldb

Следовательно, раздуть сей файлик до невменяемых размеров, пущай радуются, "злоумышленники" :D.

NPM как-то тут гнездо уже свил :).

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Lex , 10-Ноя-20 14:11 
Вот это эпик. Даже не эпик, это уже что-то легендарное :))
NPM пакет с расширением dll ! :)
Судя по тому, что за полгода его скачали порядка 100 раз, это надо еще очень умудриться подобное написать при установке пакета( npm install discord.dll )

Хотя, даже не знаю, что больше удивляет - вышенаписанное или то, что был еще пакет discord.app, который:
Аналогично предполагалось качать с NPM ( npm install discord.app ) +
Судя по расширению, это закос под приложение для ЯБЛОКА +
Но пытается запустить (!) виндовый исполняемый файл bd.exe, которого, притом, нет.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:28 
Может он точно знал кому закинуть трояна. Посоцинженерил, а  на то что его скачает кто-то другой он не рассчитывал.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено макароновирус , 10-Ноя-20 14:36 
Во вредоносном репозитории выявлен пакет.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:49 
Что-то никто не кричит про памятебезопасность и что порвем раст. А тут вон оно как памятебезопасность это не все.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Dzen Python , 10-Ноя-20 15:44 
А было бы интересно провести открытый аудит всех пакетов cargo.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Анонимус111ЧЧЧ , 10-Ноя-20 17:54 
полиэтиленовый?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено YetAnotherOnanym , 10-Ноя-20 18:43 
гигиенический
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 04:04 
> Во вредоносном репозитории выявлен пакет.

В пакете - утка, а в утке яйцо зайца.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено mos87 , 10-Ноя-20 14:47 
дискорд да еще и длл - I call ССЗБ
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:48 
А почему нельзя использовать веб морду?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 14:56 
> был загружен лишь около 100 раз

скорее уж был загружен _целых_ 100 раз, учитывая название пакета

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Ненавижу SJW , 10-Ноя-20 15:00 
Может хватит постить новость про каждый вредоносный пакет на 100 скачиваний?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Dzen Python , 10-Ноя-20 15:43 
А что так? Уже фильтр ставить надо не на каждый факап, а только на *серьёзное*?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 18:06 
npm — один большой факап. Зачем про это 100–500 новостей?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено YetAnotherOnanym , 10-Ноя-20 18:44 
Чтобы дети каку не трогали.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 15:52 
Делаем ставки, когда следующую новость про трояны в npm подвезут.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 16:54 
Раньше, чем в pypi. В pypi ведь каждый пакет проверяется вручную, а если что нечисто - автора пакета сразу полиции сдают, ведь там пакет можно только по паспорту залить.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 17:09 
Там все проще вирсописателям там сложно зарегистрироваться.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 18:08 
> вирсописателям

Тебя дрвеб покусал? Нет такого слова в русском языке.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 16:12 
никогда не было, и вот, ОПЯТЬ!
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Иваня , 10-Ноя-20 16:40 
Haha, classic...
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 17:08 
В репозитории NPM выявлен вредоносный пакет "Пятёрочка"
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 17:10 
Весь океан своими пакетами захламили.
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено robot228 , 10-Ноя-20 18:43 
Не смог у себя и дочки найти leveldb. У кого-нибудь он есть?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 19:32 
Есть
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Michael Shigorin , 10-Ноя-20 19:50 
Анализ-то какой сдавали?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 19:12 
Нифигфсе там помойка! Похлеще чем в каком нибудь плей маркете)
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 19:30 
node.js
dll
я знал
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 10-Ноя-20 20:11 
Мне интересно они собираются postinstall скрипты запрещать или нет?
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Kuromi , 10-Ноя-20 23:21 
"Передавались файлы профиля пользователя и БД в формате leveldb из каталогов браузеров на базе движка Chromium (Chrome, Opera, Yandex Browser, Brave)"

Даже и не знаю, радоваться тому что файлы из Firefox не передавались или печалиться? Ну знаете, Неуловимый Джо которыйникому не нужен.

"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 07:34 
Чёрт, когда всё это закончится!
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Корец , 11-Ноя-20 08:17 
>Build amazing things
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено darkshvein , 11-Ноя-20 16:03 
discord twitch фреймворк бесплатно сделать крутой web 2.0 сайт без регистрации смс
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 11-Ноя-20 16:47 
2030 г., новость:
"В репозитории NPM выявлен полезный пакет ..."
"В репозитории NPM выявлен вредоносный пакет discord.dll "
Отправлено Аноним , 17-Ноя-20 13:50 
Читаешь такую "новость" и думаешь, а не автор ли пакета пишет её?
Ну а как бы еще кто-то узнал, что есть сильно овиндованный пакет, запускающий какие-то exe файлы, который имеет аж 100 скачиваний?