forum.opennet.ru

"В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	+/–
Сообщение от Урри (ok), 05-Ноя-21, 12:10
Я об этом и пишу - обновляешься, запускаешь, проверяешь что работает, даже автотесты пробегает, замораживаешь хеши. А через неделю срабатывает временной триггер, и твоя система начинает майнить. Трояна находят, оперативно исправляют (он в лефтпаде, который твой хелловорлд использует через 50 пакето-зависимостей). Весь мир тут же излечивается, а ты дальше майнишь, ибо ни сном ни ухом, что вот этот вот один из миллиона существующих пакетов у тебя таки используется. Прекрасный план, мистер Фикс. Так держать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО, opennews, 05-Ноя-21, 00:25 [смотреть все]

Шо, опять , Шарп, 05-Ноя-21, 00:25 (1) //
- Не опять, а снова , Аноним, 05-Ноя-21, 01:17 (6) //
  - А зачем так часто качают , tty0, 05-Ноя-21, 03:14 (8) //
    - в этом вся смакушка современной разработки на жыэс и тд, ET, 05-Ноя-21, 06:41 (13)
      - почему только JS на всём, что делает в CI CD clean build проблема больше в дур, лютый жабби__, 05-Ноя-21, 17:45 (89)
    - Потому что дево-псята не парятся с настройкой билдов и для них не проблема выкач, OramahMaalhur, 05-Ноя-21, 12:36 (61)
      - Даже макака научилась использовать кэш пакетов одна строчка конфига А ты до си, Аноним, 05-Ноя-21, 13:34 (67)
        
        Какая Пойду пропишу, ананоша, 05-Ноя-21, 14:16 (71)
  - Стабильность - признак качества и зрелости платформы , Ag, 06-Ноя-21, 00:45 (102)
- Угу Никогда такого не было, вот вдруг опять Единственное, что радует - платформ, Dzen Python, 05-Ноя-21, 13:05 (63)
А не думали сделать наконец двухфакторную авторизацию в npm репозитории , Аноним, 05-Ноя-21, 00:41 (2) //
- Привет Гугл, и тебе хорошего дня Даешь уникальную идентификацию по IMEI, OpenEcho, 05-Ноя-21, 00:52 (4) //
  - Зачем IMEI, если есть универсальная двухфакторная аутентификация U2F , Аноним, 05-Ноя-21, 12:06 (51) //
    - Ну спросите у Гугла, согласен ли он с вами Он готов конечно поиграться с секъю, OpenEcho, 05-Ноя-21, 17:07 (85)
      - Не пользуюсь ничем таким у Гугла, для чего есть двухфакторная аутентификация По, Аноним, 05-Ноя-21, 17:21 (86)
      - Обычно сервисы поддерживающие двухфакторку просят указать номер телефона чтобы в, Kuromi, 08-Ноя-21, 01:52 (114)
        
        namecheap и так уже знает все про клиента, достаточно один раз засветить карту и, OpenEcho, 08-Ноя-21, 08:55 (117)
        
        Идентификация И Спам Вот сейчас в одном магазине в котором порой отовариваюсь м, Kuromi, 08-Ноя-21, 17:57 (122)
        
        И здесь напрашивается старый как мир вопрос Что делать Все идет к тому, что т, OpenEcho, 08-Ноя-21, 20:05 (123)
- А не пробовали какое-никакое ревью устраивать при публикации , Аноним, 05-Ноя-21, 01:15 (5) //
  - Ревью нужно делать не при публикации, а при использовании у себя, вы же не запус, Аноним, 05-Ноя-21, 02:16 (7) //
    - Он пользуется npm, а значит да, запускает , tty0, 05-Ноя-21, 03:15 (9)
    - Ну как бы вся суть JavaScript в запускании левого кода из интернета Видимо, мно, Аноним, 05-Ноя-21, 11:04 (33)
    - Ух ты, уважаю Впервые встречаю человека, который ядро линукса каждый раз ревьюв, Аноним, 05-Ноя-21, 11:30 (38)
- Да ещё и гугл капчу и паспортные данные, а вдрух , жорик, 05-Ноя-21, 08:08 (18) //
  - Открой для себя FreeOTP от redhat Никаких SIM кард не нужно и тем болеене нужно, fghj, 05-Ноя-21, 14:41 (75) //
    - мы считаем что нет никакой проблемы просто не прое ть свой пароль - если ты не , пох., 05-Ноя-21, 18:02 (90)
      - Это какой-то бред про сферического коня в вакууме Если вернутся в реальный мир,, Аноним, 05-Ноя-21, 20:38 (95)
        
        потому что разработчики полные дол е ысовершенно не надо Надо хакнуть дерьмол, пох., 05-Ноя-21, 21:58 (101)
        
        как разработчик - не могу пройти мимо и не заметить дол е ы - одна точка лишня, Елпидифор Разумберг, 07-Ноя-21, 11:05 (113)
      - И ещё раз про аппаратные ключи GPG за копейки https habr com en post 507010 , Аноним, 05-Ноя-21, 21:35 (99)
        
        спасибо, конечно, но мне неинтересно читать про страдания и подвиги кр c зиков, пох., 05-Ноя-21, 21:50 (100)
        
        А я спаял себе эту OpenPGP-карту Кстати, ты пользуешься XMPP Ты интересный, я б, Аноним, 06-Ноя-21, 00:54 (103)
      - gt оверквотинг удален Насчет генераторов с ПИН не скажу, а вот WebAuthn токены, Kuromi, 08-Ноя-21, 01:59 (115)
        
        Ну то есть опять одна херня Я и говорю - тут уже хошь не хошь, поверишь в загово, пох., 08-Ноя-21, 11:02 (118)
        
        Да, СМС нынче это серебрянная пулька на самом деле нет Мне сразу вспоминает, Kuromi, 08-Ноя-21, 17:51 (121)
Привязка к версии, но не к подписанному верифицируемому хешу определённого пакет, Аноним, 05-Ноя-21, 03:16 (10) //
- Прекрасный совет, гениальный как юзеры опеннета Надо привязаться к подписанному , Урри, 05-Ноя-21, 11:35 (39) //
  - А теперь подумай Чем это хуже от привязки к версии Только защитит от подмены и, Аноним, 05-Ноя-21, 11:43 (43) //
    - Я об этом и пишу - обновляешься, запускаешь, проверяешь что работает, даже автот , Урри, 05-Ноя-21, 12:10 (53)
      - Почему нельзя весь миллион существующих пакетов зафиксировать Вроде, все только, Аноним, 05-Ноя-21, 12:16 (57)
        
        Какое расхождение, ты о чем Автор сам майнер закодил или у автора акк угнали, ка, Урри, 05-Ноя-21, 13:10 (64)
        
        Расхождение ожидаемых хэшей с имеющимися, про попытке установить всплывёт Если , Аноним, 05-Ноя-21, 13:25 (66)
  - Всё правильно он говорит Фиксируемая версия А обновление и так прилетит от Dep, Аноним, 05-Ноя-21, 13:46 (68)
А люди действительно пользуются пакетами для разборки аргументов командной строк, Аноним, 05-Ноя-21, 05:43 (11) //
- Так это еще по серьезке Классика npm провалов же leftpad, там весь пакет свод, Аноним, 05-Ноя-21, 06:41 (14) //
  - Ааааа 8230 Ооокей 8230 аццкая сотона 8230 ну его нахер, не 8230 ну ты э, Аноним, 05-Ноя-21, 11:19 (37)
- а прикинь тебе ктото миус поставил и прада ты кого то обидел сильно , СССР, 05-Ноя-21, 08:04 (17) //
  - Дело не в обиде Он рассуждает как вредитель и нуб, таких людей с их ручным разб, Аноним, 05-Ноя-21, 08:58 (21) //
    - Да, да, да, товарищ демагог, а качество Ваших библиотечных разборов, конечно, на, _hide_, 05-Ноя-21, 10:06 (26)
      - Именно Это дорого, это излишне сложно, это подвержено ошибкам, это выглядит не , Аноним, 05-Ноя-21, 10:26 (27)
        
        А вот пакеты с бэкдорами и червями это конечно решение Умудрится написать коряв, Аноним, 05-Ноя-21, 10:50 (28)
        
        У пользователей тоже есть стандарты Кривые NIH-велосипеды им не отвечают , Аноним, 05-Ноя-21, 10:59 (31)
        
        меня мало волнует, является ли какая нибудь функция в программе NIH-велосипедом, макпыф, 05-Ноя-21, 11:52 (47)
        
        Я не часто встречаю ситуацию зависимость ради зависимости Обычно эта зависимо, Аноним, 05-Ноя-21, 11:57 (50)
        
        Если вам нужен какой то сложный и серьезный функционал - ок Если надо пробелы с, макпыф, 05-Ноя-21, 12:14 (54)
        
        Столкнулись товарищи сдал проект и забыл с теми, кто пишут вещи работающие 20-, _hide_, 06-Ноя-21, 23:32 (112)
        
        А у вас на работе нету стандарта, что программы должны не просто работать, а раб, Урри, 05-Ноя-21, 11:42 (42)
        
        О да Тебе сложно массив разобрать Ты хоть hello world без библиотек, туторалов, Аноним, 05-Ноя-21, 10:54 (29)
        
        Ты либо теоретик, либо я не знаю чем это оправдать , Аноним, 05-Ноя-21, 10:57 (30)
        
        Давай ещё начнём пипками меряться тут Ты мне свой код покажи а я тебе свой ск, Аноним, 05-Ноя-21, 11:14 (34)
        
        https code woboq org userspace glibc posix getopt c htmlМоя длиннее, толще, на, Урри, 05-Ноя-21, 12:14 (55)
        
        ambig_set alloca n_options Хотелось бы уточнить ещё и глубину в байтах , n00by, 05-Ноя-21, 14:04 (69)
        
        когда количество стороннего кода больше чем собственного - как такую ситуацию об, Sw00p aka Jerom, 05-Ноя-21, 11:44 (44)
        
        Как нормальное состояние любого программного продукта , Урри, 05-Ноя-21, 12:15 (56)
        
        проклинаю как пользователь тебя и таких как ты т к из за этого мне приходится с, макпыф, 05-Ноя-21, 11:48 (45)
        
        Понимаю, удобный и функциональный софт кому-то тоже не нравится, вам подавай спе, Аноним, 05-Ноя-21, 11:53 (48)
        
        Мне надо что софт хорошо делал то, для чего я его поставил , макпыф, 05-Ноя-21, 11:54 (49)
      - конечно, их же тысячегласс проверил вот особенно невменяемую gnu getopt , пох., 05-Ноя-21, 18:05 (91)
  - Нужно мчс звать у него пригорела 8230 сейчас будет холивару разводить, про вел, Аноним, 05-Ноя-21, 11:01 (32)
- Функция getopt из unistd h стандартизирована, если не ошибаюсь, где-то в самом, Урри, 05-Ноя-21, 11:39 (40)
- Зачем же тогда придумали boost program_options, gflags, cxxopts, тысячи их , Аноним, 05-Ноя-21, 11:41 (41) //
  - У приплюснутых свой путь , Аноним, 05-Ноя-21, 12:18 (59) //
    - Причем правильный Думай как плюснутый, делай как плюснутый, будь плюснутым , Урри, 05-Ноя-21, 13:14 (65)
      - Это вам так кажется Для коммерческой разработки плюсы выбирают редко , Аноним, 05-Ноя-21, 14:09 (70)
        
        Толще не могли , Урри, 05-Ноя-21, 14:18 (72)
        
        Отчего же, могу с ники суть те же лефтпадщики - на любой чих, например, файл п, Аноним, 05-Ноя-21, 20:45 (97)
        
        Фрагмент драйвера, удаляющий тело руткита code staticbool carantine_file const , n00by, 06-Ноя-21, 08:09 (106)
- getootlong тоже не просто так придумали, Roman, 05-Ноя-21, 16:14 (83)
- Это называется 171 стандарты 187 Но вам, с деревьев, не понять, вы выше это, Онаним, 10-Ноя-21, 00:49 (128)
Опять Без нарушений традицией Значит всё как обычно Радуюсь , kusb, 05-Ноя-21, 08:03 (16)
Если подобное вытворяют любители, то на что тогда способны профессионалы 12930, Аноним, 05-Ноя-21, 08:36 (19) //
- Профессионалы порядочные люди, сами используют нпм, поэтому и не гадят, ананоша, 05-Ноя-21, 14:20 (73)
Получил контроль на пакетом, но не смог опубликовать новую версию Я думаю, что , Аноним, 05-Ноя-21, 09:22 (22)
никогда такого не было и вот опять, миллионы глаз чуть не ослепли от соринки хо, Аноним, 05-Ноя-21, 09:51 (23) //
- Будет Просто раст нафик пока не впал , FractaL, 05-Ноя-21, 14:58 (77)
- Откуда такая уверенность , Аноноша, 05-Ноя-21, 17:40 (88)
Автор точно уверен что npm поддерживает опцию resolutions , Аноним, 05-Ноя-21, 10:03 (24) //
- По первой ссылке человек там говорил только про yarn , Аноним, 05-Ноя-21, 10:05 (25)
mpv Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7 1_DBRip_loop mk, InuYasha, 05-Ноя-21, 11:14 (35) //
- Даже здесь вас учить надо mpv --loop-file inf Risitas_hysterical_laugh_UHD8K_, Урри, 05-Ноя-21, 12:18 (58)
- Он сейчас Петра смешит , шайтан, 06-Ноя-21, 14:59 (107)
- 28 апреля 2021 года Хохотун скончался в Севилье на 65-м году жизни в результате , Аноним, 06-Ноя-21, 18:52 (111) //
  - Что не мешает ему оставаться нашим добрым мемом , InuYasha, 08-Ноя-21, 13:26 (119)
какие то странные хакеры - то исключение для стран СНГ делают, то криво пакеты с, макпыф, 05-Ноя-21, 11:15 (36) //
- В первую очередь из-за геополитики Во-вторых, из-за законов В-третьих, некотор, Аноним, 05-Ноя-21, 12:10 (52)
Уважаемые анонимы, а не подскажет кто такое вот интересное Есть ли в npm какой-т, Урри, 05-Ноя-21, 11:48 (46) //
- Флажок на сервере раздающем пакеты должен стоять Если да то тогда зачем раздават, шайтан, 06-Ноя-21, 15:04 (109)
- Да, есть Даже 2 Скомпроментирован и устарелВ данном случае версию пакета нахрен, Онаним, 10-Ноя-21, 00:41 (126)
Что не так с этими разработчиками, что они постоянно теряют контроль над своими , Аноним, 05-Ноя-21, 14:47 (76) //
- интеллектуальная импотенция, однако, Alexey, 05-Ноя-21, 18:50 (92)
- Люди,сэр , шайтан, 06-Ноя-21, 15:01 (108)
- только, аккаунтами, Онаним, 10-Ноя-21, 00:47 (127)
Это ккой такой rc У меня в репозитории есть rc rpm -qip rc Rc is a command , adolfus, 05-Ноя-21, 15:58 (82) //
- s rpm npm , Аноним, 05-Ноя-21, 21:26 (98)
Тоже кривое , макпыф, 05-Ноя-21, 17:27 (87)
Сто раз подумай, прежде чем пользовать нпм, Аноним12345, 06-Ноя-21, 16:14 (110)
Поэтому я не устанавливаю обычно пакеты с pypi ну кроме гуглаговскового говна, , Аноним, 08-Ноя-21, 08:17 (116)
То ли этим людям деньги важнее развития человечества, то ли они готовы откатить , Рмшъ, 08-Ноя-21, 16:22 (120) //
- Они помогают понять недостатки npm Ну раз ты так веришь в людей, то в следующий, Аноноша, 09-Ноя-21, 04:18 (124)
- npm, google о каком еще развитии человечества речь , Аноним, 09-Ноя-21, 15:14 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру