В NPM-пакете xrpl выявлен вредоносный код (CVE-2025-32965), отправляющий на внешний сервер мастер-ключи от криптокошельков и закрытые ключи криптовалют. Пакет xrpl позиционируется как официально рекомендованная библиотека (xrpl.js) для взаимодействия JavaScript- и TypeScript-приложений, работающих через браузер или Node.js, с децентрализовнной платёжной сетью XRP Ledger (Ripple), развивающей криптовалюту XRP, занимающую 4 место по капитализации (уступает только BTC, ETH и USDT). Библиотека xrpl.js насчитывает 165 тысяч загрузок за предшествующую инциденту неделю, используется в качестве зависимости в 143 NPM-пакетах и задействована во многих криптовалютных приложениях и сайтах...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63145
Интересно, в теории, если люди потеряли деньги, то в полицию какой страны они должны обращаться?В той в которой просиживать сами или где проживает владелец NPM аккаунта?
в полицию страны, в которой изобрели язык программирования, который не различает pure-функции от impure. Будь яваскрипт таким языком, пользователи бы заметили, что функция, которая должна была быть pure, почему-то изменила сигнатуру и стала требовать какого-то рантайма, способного обрабатывать эффекты вида "обратиться к http-ресурсу".
> пользователи бы заметили, что функцияТы слишком многого хочешь от пользователей.
правильно не яваскрипт, а джаваскрипт. Потому что jazz а не язь
Остров называется Ява. Язык Ява назвали в честь острова. Язык ЯваСкрипт назвали с целью примазаться к славе языка Ява. Буква "J j" всегда была и остается недобуквой -- лишь вариантом написания буквы "I i", примерно как буква, выглядящая как отзеркаленная "S s" ("Ƨ ƨ") -- это лишь вариант написания "Г г".
> правильно не яваскрипт, а джаваскрипт. Потому что jazz а не язьможно и так и так. Если тебе станет легче, в испанском языке на уровне языка звуки с "й" можно свободно менить на "дж" (например "Yo" произносится и как "Йо", и как "Джо") и это никого абсолютно не парит, просто одни произносят так, а другие так.
>который не различает pure-функции от impureЯзык с различием в студию. Надеюсь это не хаскель, в котором все функции безцветно IO, вне зависимости от того, что они делают - берут текущее время или же сливают ключи разработчику.
Пока это касается 2-3 человек, если это не Илоны Маски, в другой стране.
Никто с этим разбираться не будет.
Пока это не массово, никто даже и не поймет.
Тем более какая нибудь полиция мало понимает крипту.
Вот Фсб, или Фбр, еще могут взяься.
Если у владельца крипты много крипты.
В ту, в которой легализована крипта) Полиция не занимается восстановлением справедливости, она занимается поддержкой правового порядка. Вроде ж в 9 классе на обществознании проходят..
встречный вопрос:
а кто занимается восстановлением справедливости?
и как продолжение (потому что, подозреваю, ответ будет "никто, кроме вас самих"), как государство, и органы правопорядка, будут относиться к тому, что я самостоятельно начну восстанавливать справедливость, ну естественно в рамках текущего законодательства.
Если ты говоришь о спасении утопающего, то похвалят, иначе - накажут за оставление в опасности.
Если о смене власти, то государство, очевидно, будет против. А полиция ему подчинена, будет исполнять, что прикажут.
Ликбез окончен, или ещё вопросы?
Справедливость — понятие философское, а не юридическое. Юриспруденция в какой-то мере основывается на философии (впрочем, что только в мире людей на ней не основывается), но не является её продолжением и потому не оперирует понятием справедливости (которое суть оценочное понятие без чёткой формулировки). Поэтому справедливость может восстановить (установить) только ты сам и твой друг Платон.
> а кто занимается восстановлением справедливости?Ну т.к. справедливость у каждого своя, то никто.
ну вот один пахал как вол 24*7, заработал честно себе на домик с газоном и автомобиль. А рядом другой пил теже 24*7
и вот, что одному справедливо, чтобы он имел домик, а второй не имел, то второму "у них денег куры не клюют, а у нас на водку не хватает".. и оба вполне уверены, что именно его справедливость самая справедливая.
ну а закон защищать будет только одного из них, или первого или второго.. (ну или обоих нагнёт и отправит в газенваген, т.к. формой носа, происхождением или еще чем под текущий закон не попали)
По месту совершения преступления... комп с которого спёрли, в момент сперания находился в какой стране ? вот там и подавайте.. но тут несколько вопросов, если в той стране не легализованы криптовалюты, то у вас ничего и не украли :). В некоторых странах могут поинтересоваться откуда оно у вас. Налоги там, еще чтонить...
ну и да, найдут и вернут сильно врядли.
> в полицию какой страны они должны обращаться?В полицию той страны, на территории которой они находились в момент совершения в отношении них противоправных действий. Ваш К.О.
> страны, на территории которой они находились в момент совершенияТы находился на пляже Египта, когда скоммуниздили пальму из твоего дома в Бобруйске. Внимание, вопрос: а где находятся криптофантики? Это - риторический вопрос.
В полицию того государства, к которому себя причисляют.... Упс, они же у нас либертарианцы, против крыши, поэтому ни к какой себя не причисляют ... Ну раз против крыши - то к крыше обращаться и не должны.
А если они за диктатуру пролетариата? Самосуд у нас запрещён, непорядок.
У "вас" - это у кого?
>в полицию какой страны они должны обращаться?Разумеется, в интергалактическую полицию.
Если вы не можете развернуть локальную ноду на своем железе, то это не крипта, а скам. Все токены в любой момент могут навернуться.
Какую б....ть ноду? Это называется холодный кошелек, Electrum / Sparrow например. Только совсем дурачки хранят крипту в обменниках и всяких бинансах.
Думается мне, что вы путаете тёплое с мягким. Нода вроде как используется для поддержки криптосети, типа верифицирует транзакции, поддерживает связность и всё такое (хз, я не эксперт). Никакого отношения к кошельку вроде как, и в отличие от кошелька и майнинга нужно дофига памяти выделять на такое.P.S.: Я не тот Анон что сверху.
Так ноду можно развернуть
Пример для BTC: https://forklog.com/exclusive/ustanavlivaem-polnuyu-nodu-bit...
Вот для XPR: https://xrpl.org/docs/infrastructure/installation/install-ri...Для других криптовалют +- тоже самое.
Зачем вам полная нода? Сразу видно человека только читавшего про крипту...Холодные воллеты качают только послдение блоки.
> Зачем вам полная нода?Мне? Я лишь ответил человеку, который говорит, что это мол, нельзя и называет крипту скамом. Гуглится ведь за 3 минуты.
А вы до меня докапались, я же "на вашей стороне", докапывайтесь вот до него.
Раньше это называли "мамкин админ" локалхоста, а теперь "криптомиллионер собственной биржи" :))))))
То есть библиотеку, фактически работающую с финансами, никто не аудитит?
так это же не финансы, а фантики. ну потеряет какой-то дурак миллионы фантиков, ну и что из этого?
Смотрю из окна на крипто-миллионеров в шортах, тапающих на хомяка.
И хочется сказать "Ценность - в глазах смотрящего", перефразируя известную истину.
Милый, это уже много лет - реальные финансы, которыми пользуется и бизнес в т.ч. для беспроблемного перевода средств, мгновенного, без помощи государства и банков.
> без помощи государства и банков:)) блажен, кто верует....
то же мне новость, зато модно молодежно
Дорогой писатель, это модно-иолоежно было 10 лет назад, а сейчас - это глобальная платежная система, используемая повсеместно. То, что вы живете в России, где государство хочет просто все отнимать и ничего не разрешает, и которая обложена всеми возможными санкциями - не меняет этого факта.
> Дорогой писатель, это модно-иолоежно было 10 лет назад, а сейчас - это
> глобальная платежная система, используемая повсеместно. То, что вы живете в России,
> где государство хочет просто все отнимать и ничего не разрешает, и
> которая обложена всеми возможными санкциями - не меняет этого факта.дорогой так себе астролог, я не живу в России, и вообще я про библиотеку, NPM, семейство macaques его продуцирующих, которые как попадали под "модно-молодежно" изначально не в силу недавного своего появления, а в силу собственно подхода, так и продолжает таким оставаться
А можно пример государства, которое не хочет всё отнимать? =)
Швеция, Норвегия... гуглить "безусловный доход".
Есть у меня знакомый швед...Как то не похоже чтобы он не напрягался на счёт хотелок своей страны на счёт проверить движение по его счетам и доначислить налогов.
А вы читайте википедию, там много правды пишут.. и не правды тоже много.
> глобальная платежная системаКак заплатить за свет, газ, воду и налог на имущество из этой глобальной платёжной системы? Мэрия города требует местную валюту. Энергокомпания, поставщик пропана и местный водоканал тоже. При этом все четверо берут деньги из разных платёжных систем, можно перечислить напрямую со счёта в банке, можно через местную платёжную систему, можно через Visa или MasterCard. А вот криптой нельзя почему-то. И так везде, от местной пиццерии до супермаркетов. Живу в стране первого мира, если что. Фриков берущих крипту в качестве оплаты было в городе всего с дюжину пока битки не вышли в тираж, но все перестали этим страдать лет восемь тому, просто сошло на нет потихоньку, не взлетело в быту. В общем и про платёжную систему ты немного приврал, и про её глобальность тоже.
Использовать npm для криптовалюты. Это даже не киберпанк, это фильм "Идиократия" наяву.
Хайп и мода! Что ещё нужно для успешной крипты? А которые на C/C++ пишут (ну и немного на Rust иногда), без хайпа и моды, те на 100+ местах в CMC и их или не знают вовсе, или называют скамом. Представьте себе есть такие, как минимум два проекта, активно работающие не смотря на всю многолетнюю безвестность и всё хейтерство, не буду озвучивать, кто хорошо искал, тот знает.
> Хайп и мода! Что ещё нужно для успешной крипты? А которые на
> C/C++ пишут (ну и немного на Rust иногда), без хайпа и
> моды, те на 100+ местах в CMC и их или не
> знают вовсе, или называют скамом. Представьте себе есть такие, как минимум
> два проекта, активно работающие не смотря на всю многолетнюю безвестность и
> всё хейтерство, не буду озвучивать, кто хорошо искал, тот знает.озвучь чего уж там, обмен мнениями
Мне тут буквально вчера рассказывали - как здорово всяких ботов в тг-канале админами делать. Удобно же! Так что ожидать от людей критического мышления смысла нет
Так и правда удобно.
Всем.Но ещё удобнее было бы рутовый доступ без пароля.. И желательно на белом ИП, чтобы ещё удобнее. А то чё людей напрягать всякими сложными способами попадания в вашу систему.
Ну а что, боты действительно удобны для управления каналами и серверами, у меня тоже стоит. Правда, написанный мной самим. К счастью, Питон достаточно лёгкий язык, чтобы его можно было быстро выучить на нужном для писания ботов уровне
Кто-то всё ещё верит в "Емелю", лежащего на печи и у которого "капет" пол-царства приданного :))
Без труда деньги не заработать. Но зумеры наивно верят сказкам про миллионеров.
опять жаваскрипт 🤦
Вопрос.
Когда нибудь эта завирусованная помойка NPM, прекратит генерировать подобные новости?
Держатели основного репозитария, специально не шевелятся, что бы "предотвратить", а не "устранять последствия"?
Есть ряд способов заметно повысить удобство и безопасность этой помойки. Но это нужно сменить руководство и дать денег.Разделить все пакеты на 2 категории: веривицируемые и нет. За верификацию брать небольшую денюшку (подписка) и запретить зависимость от не верифицированных. Это заставит многих разработчиков отказаться от микрозависимостей.
Потом ввести 3-ю категорию для помоек с постоянными ошибками: это заставит многих разработчиков не тащить lodash. Но поред этим потратить много денег и самим создать простые замены (вплоть до API) с верификацией. Самим вылизать их и активно тестировать.
В результате за несколько лет будет наконец же факто создано что-то std библиотеки (только не C++, а JS). Со стабильным API: чтобы эти библиотеки можно было вообще включить в браузеры. Статистика позволяет понять: что нужно. И корпоративных разработчиков приучат не зависеть от микрозавтстмостей с возможными уязвимостями.
После этого можно будет заняться NPM конфигом. Он настолько ущербный: нельзя понять какие пакеты тянутся. Можно сконфигурировать только один источник. И в принципе: документация - это пример как писать не надо.
Но уже много лет ничего принципиального в NPM не делают...
> std библиотеки (только не C++, а JS). Со стабильным API:Ах это JS. постоянно об этом забываю.
Тогда тупо на**й не нужно!Ждем от гугла замену JS...
>Когда нибудь эта завирусованная помойка NPM, прекратит генерировать подобные новости?Тогда, когда популярность js-а упадёт, и злоумышленники переключаться на что-то другое. Надеюсь не скоро, а то мне просматривать каждый коммит на своём любимом языке не хочется.
Ох уж эти репозитории в языках программирования. Эту участь ждёт и rust с его cargo, и go, и python с его pip.
Так а кто гарантирует, что просто скачивая откуда-то не будет того же самого? Поэтому серьезные проекты не используют сторонний код и пишут сами всё с нуля.
> Ох уж эти репозитории в языках программирования. Эту участь ждёт и rust
> с его cargo, и go, и python с его pip.это норма, просто к публичным репозиториям нужно всегда относиться, как к дикому полю. Тщательно проверять скачиваемое, благо сканнеры есть, например SonarQube можно свой поднять и сканировать. Ну и само собой, у серьезных проектов должно быть локальное зеркало репозиториев, это ненормально, когда ты тянешь из интернета пакеты при сборки, они должны с твоего зеркала тянуться.
То ли дело сишка и кресты, где каждый первый изобретает не то чтобы велосипед, а и колесо к нему
Не хочу тебя расстраивать, но npm не только для js пригоден, но и для того же с/с++
так это не крипта вовсе а традиционные финансовые ценности мимикрирующие под крипту. у всех этих ценностей один финал.
Крипта?! :))) Ребята, вы или отстаёте в развитии или не застали эпоху гербалайфа.
> Ребята, вы или отстаёте в развитии или не застали эпоху гербалайфа.Скажи мне, Джон Титор, а что там в будущем?
От твoeго вaтнoго стapoпepдунского коммeнта нафтaлином несёт aж через океан ко мне в NYC.
Ох уж эти фиатные деньги - алчность людей не имеет границ. Все хочется на шару, а тут раз и социальный инженер все переделал по своему. По моему от этого ни один репозиторий не защищен. Бывает. И тем не менее кое- что могли бы в Макрософаке сделать. А именно сами деплоить открытый код в npm с github. Оба их продукта уже давненько, так-что могли бы и сделать. Почему пользователи должны каждый раз писать свои велосипеды? Не ясно.
Мда, хак уровня школьника. Send KRYPTA to "https://mamkin-xakep.su".Позор, что вообще это пропустили.
На свалке кто-то опять навалил кучу
Удивительно не правда ли?