Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от opennews (??), 13-Июл-18, 10:46 | ||
Администраторы репозитория NPM уведомили (https://blog.npmjs.org/post/175824896885/incident-report-npm...) пользователей о компрометации (https://eslint.org/blog/2018/07/postmortem-for-malicious-pac...) пакетов eslint-scope (https://www.npmjs.com/package/eslint-scope) и eslint-config-eslint (https://www.npmjs.com/package/eslint-config-eslint), в которых поставлялся популярный анализатор JavaScript-кода, насчитывающий более 2 млн загрузок в неделю. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +23 +/– | |
Сообщение от Аноним (-), 13-Июл-18, 10:46 | ||
у меня дежавю | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
26. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –2 +/– | |
Сообщение от Аноним (26), 13-Июл-18, 17:52 | ||
Тоже репозиторий Gentoo вспомнился? | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
2. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от MPEG LA (ok), 13-Июл-18, 10:49 | ||
>рекомендовано включить двухфакторную аутентификацию. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +21 +/– | |
Сообщение от Аноняшка (?), 13-Июл-18, 12:04 | ||
...и с привязкой к паспорту, личной подписью майора, и трибуналом по результатам действия пользователей после аутентификакации)) | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
22. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –6 +/– | |
Сообщение от Константавр (ok), 13-Июл-18, 13:50 | ||
Если это поможет остановить вредителей - то я только ЗА. Задолбали уже все эти проблемы. Вот бы уже прижали всё это дело. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
23. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от Аноним (-), 13-Июл-18, 13:55 | ||
> вредителей | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
25. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +2 +/– | |
Сообщение от Аноним (25), 13-Июл-18, 15:01 | ||
Двухфакторка бывает и в виде кода, генерируемого апликухой на мобильнике. FreeOTP подойдёт. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
35. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Kuromi (ok), 14-Июл-18, 01:36 | ||
U2F токены и WebAuthn забыли добавить. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
34. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Kuromi (ok), 14-Июл-18, 01:36 | ||
Да нахрена привязки к чему либо? Зачем по вашему Chrome и Firefox реализовывали WebAuthn? как раз таки (в том числе) для двухфакторной авторизации аппаратными токенами (FIDO U2F, FIDO2), которых на том же Амазоне - навалом. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
54. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от тов. майор (?), 16-Июл-18, 07:05 | ||
> которых на том же Амазоне - навалом. | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
63. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Kuromi (ok), 12-Авг-18, 01:23 | ||
А ничего что российский Аладдин выпускаеть Jacarta U2f? Боитесь покупать с Амазона - ну пожалуйста, покупайте здесь. | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
64. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Kuromi (ok), 12-Авг-18, 01:31 | ||
Тем не менее, "поимка на почте" - очень маловероятна. Причина - визуально устройство не отличается от USB флешки. | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
62. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Сталин (?), 05-Авг-18, 13:40 | ||
>и трибуналом по результатам действия пользователей после аутентификакации | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
4. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +3 +/– | |
Сообщение от Аноним (4), 13-Июл-18, 10:57 | ||
А я вам всегда говорил вспомнити leftpad , но никто неприслушивался ко мне | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +8 +/– | |
Сообщение от Пиони (?), 13-Июл-18, 12:00 | ||
Верно, нужно чаще прислушиваться к анонимам | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
14. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +2 +/– | |
Сообщение от Аноняшка (?), 13-Июл-18, 12:03 | ||
...и к пони по имени Пиони)) | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
16. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –2 +/– | |
Сообщение от Аноняшка (?), 13-Июл-18, 12:05 | ||
leafpad лучше)) | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
19. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от mimocrocodile (?), 13-Июл-18, 13:02 | ||
Что бы мы без тебя делали, друг | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
39. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от Аноним (39), 14-Июл-18, 03:45 | ||
говорил - значит и сделал гадость - пойдешь в подозреваемые | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
11. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +9 +/– | |
Сообщение от Аноним (11), 13-Июл-18, 11:21 | ||
> При выполнении операции установки пакета с сайта pastebin.com загружался и запускался скрипт, который отправлял на внешний сервер содержимое файла ~/.npmrc | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от J.L. (?), 13-Июл-18, 12:41 | ||
>> При выполнении операции установки пакета с сайта pastebin.com загружался и запускался скрипт, который отправлял на внешний сервер содержимое файла ~/.npmrc | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
33. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от Аноним (11), 14-Июл-18, 01:21 | ||
Ага, а на офтопике как засендбоксить? NPM же должен быть кроссплатформенный. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
40. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –2 +/– | |
Сообщение от Аноним (40), 14-Июл-18, 08:05 | ||
не чрутить. Нужна полноценная система изоляции с разрешениями для десктопов. В МС это понимают и делают. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
13. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Аноняшка (?), 13-Июл-18, 12:01 | ||
> По счастливому стечению обстоятельств | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
17. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +3 +/– | |
Сообщение от index0h (ok), 13-Июл-18, 12:16 | ||
NPM без факапов 0 дней | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +2 +/– | |
Сообщение от J.L. (?), 13-Июл-18, 13:44 | ||
> NPM без факапов 0 дней | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
24. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от Аноним (-), 13-Июл-18, 13:57 | ||
Не факт. Политика безопасности должна соответствовать важности сервиса. Если компрометация через юзеров происходит часто, значит в консерватории что-то не так. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
55. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от пох (?), 16-Июл-18, 07:06 | ||
угу - например, этих юзеров больше одного. Ну надо же! | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
20. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +6 +/– | |
Сообщение от pull request (?), 13-Июл-18, 13:03 | ||
Никогда такого не было, и вот опять! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +3 +/– | |
Сообщение от Аноним (27), 13-Июл-18, 18:00 | ||
Я давно говорил что экосистема, завязанная на никем не проверяемых помойкорепозиториях и тулзах которые из них ставят любое говно подходящее по версии (pip, bundler, go, cargo, ...) не проверяя подписи и чексуммы - это рассадник малвари. А плюсовики ещё плачутся что у них этого гoвна нет. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от KonstantinB (ok), 13-Июл-18, 18:14 | ||
А кто будет проверять каждый leftpad? | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
31. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от Аноним (27), 13-Июл-18, 21:36 | ||
Ну я вообще подразумевал системные репозитории в которых есть дополнительный слой из мантейнеров, которые в лучшем случае всё досконально протестируют, в худшем хотя бы не пропустят откровенный шлак в виде какого-нибудь майнера. Кроме того, там обеспечивается предсказуемость и повторяемость сборок и проверяется целостность пакетов. Когда я делаю pkg install, мне не может прилететь свежачок с поломанной совместимостью выпущенный секунду назад, и мне не может по дороге провайдер в него подложить трояна. Мне прилетит либо то что проверил мантейнер и я лично проверил на тестовой машине, либо ничего. Питон, perl, php так замечательно живут испокон веков (басенки о несовместимостях и необходимости в pip и virtualenv оставлю дурачкам). А сейчас я вижу что и новоязы, несмотря на чудесность и полную самодостаточность их хайповых пакетных менеджеров появляются в виде системных пакетов: | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
45. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –2 +/– | |
Сообщение от Сергей (??), 14-Июл-18, 13:18 | ||
Можно более подробно почему не нужен pip и virtualnv? Не совсем понял, что имели ввиду. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
47. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +4 +/– | |
Сообщение от Led (ok), 15-Июл-18, 04:28 | ||
Если гвидобейсикокодеры ненужны, то зачем тогда нужны "pip и virtualnv"? | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
48. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Ordu (ok), 15-Июл-18, 05:46 | ||
Ты путаешь системный пакетный менагер и пакетный менагер для девелопера. Это разные вещи, которые предназначены для решения разных задач. Мне как девелоперу нафиг не сдались системные библиотеки из debian'а, они протухли уже сейчас, а когда я допишу свой код, они даже пахнуть уже не будут, окаменеют. В то же время мне, как админу локалхоста, нафиг не сдался девелоперский пакетный менагер в качестве системного по причинам, которые собственно ты и озвучиваешь. И мне необходимо разделять их, потому что как девелоперу мне может требоваться несколько разных версий одной и той же библиотеки, иногда просто чтобы посмотреть скомпилируется ли. Иногда я гоняю тесты для нескольких версий депендансов. Вручную это делать убьёшься. Системные пакетные менагеры тут ничем помочь не могут, скорее под ногами путаются и мешают: вручную будет проще и быстрее, особенно если подпереть костыликами на bash. Собственно все эти pip/cargo и иже с ними именно эти задачи и решают: быстро накатить нужную версию, хочешь совсем-совсем новую, хочешь древнючую и устаревшую, на которую заточен тот код, который я где-то наковырял, и который не получал обновлений последние десять лет, чтобы я сначала мог бы его запустить, посмотреть как он работает, решить нужен ли он мне или нет, и только после этого заниматься (или не заниматься) апдейтом кода под актуальные версии библиотек. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
60. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от J.L. (?), 20-Июл-18, 13:19 | ||
> Ты путаешь системный пакетный менагер и пакетный менагер для девелопера. | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
56. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от KonstantinB (ok), 16-Июл-18, 10:48 | ||
PHP без composer уже не живет. Ну, то есть можно, но бессмысленно. Но это так, между прочим. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
36. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от Аноним (11), 14-Июл-18, 01:44 | ||
В Go не все так плохо. Так каждый импорт пакета - это путь к Git-репозиторию. Централизованной репы нет, есть только стандартная либа, но она огорожена от васянов. А с левого репозитория что угодно может быть, такова жизнь ;) | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
57. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от KonstantinB (ok), 16-Июл-18, 10:52 | ||
Завязка на HEAD - это как раз одна из основных проблем управления зависимостями в Go. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
59. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от smartypants (?), 17-Июл-18, 01:46 | ||
> When checking out or updating a package, get looks for a branch or tag that matches the locally installed version of Go. The most important rule is that if the local installation is running version "go1", get searches for a branch or tag named "go1". If no such version exists it retrieves the default branch of the package. | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
38. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от Аноним (39), 14-Июл-18, 03:45 | ||
Говорил? Значит будешь подозреваемым. Накаркал | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
42. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от Аноним (40), 14-Июл-18, 08:11 | ||
Эту проблему уже сто раз поднимали. Но никто её фиксить не будет в официальных репах. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
49. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Аноним (49), 15-Июл-18, 11:07 | ||
Аналогично. Всякие композеры и прочие идут в задницу - только ручной накат, с внимательным чтением чейнджлогов перед апдейтами. Да, не девопсненько, зато страхует от ряда весёлых приключений. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
51. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | –1 +/– | |
Сообщение от Аноним (51), 15-Июл-18, 12:33 | ||
Как бы еще погромистам это объяснить :( | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
52. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от gdsagdfhdfg (?), 15-Июл-18, 19:39 | ||
сначала заказчикам, программисты сами все поймут | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
53. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Аноним (53), 15-Июл-18, 21:50 | ||
> А плюсовики ещё плачутся что у них этого гoвна нет. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
30. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Аноним (30), 13-Июл-18, 18:38 | ||
А говорили такого не может быть, никогда-никогда честно | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
32. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от Аноним (49), 14-Июл-18, 00:18 | ||
Лал. Опять любители автоматом тянуть всякий хлам страдают. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
37. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от your mom (?), 14-Июл-18, 03:00 | ||
Эххх, а ведь эта была заявка на настоящий БЫЛИННЫЙ отказ!!! Надо было админам еще денек потупить и потом оставшийся месяц (если не год) наслаждаться пылающими седалищами веб мак^W разработчиков! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
41. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +1 +/– | |
Сообщение от Аноним (41), 14-Июл-18, 08:10 | ||
К сожалению, вредоносное ПО забыли нормально протестировать перед релизом. | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
44. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от Аноним (44), 14-Июл-18, 11:30 | ||
Мне начинает казаться, что такие новости постят просто чтобы посмеяться | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
58. "В популярный NPM-модуль внедрено вредоносное ПО,..." | +/– | |
Сообщение от arisu (ok), 16-Июл-18, 20:43 | ||
а что, разве не так? O_O | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
46. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +/– | |
Сообщение от user90 (?), 14-Июл-18, 15:48 | ||
Йес! Я рад :) Нет вебне, жопоскриптерам - по заслугам! Да вообще 99% js так или иначе "вредоносен" для пользователя. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
50. "В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." | +2 +/– | |
Сообщение от Аноним (26), 15-Июл-18, 11:30 | ||
А когда тоже самое случилось с Gentoo на днях, ты был рад? Осталось понять, причем тут js... | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |