forum.opennet.ru - "Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски" (28)

"Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски"	+/–
Сообщение от opennews (ok), 10-Сен-25, 08:44
История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63854
Ответить \| Правка \| Cообщить модератору

Оглавление

Шо, опять Никогда ж такого не было - и вот опять А, между прочим, карго так акти, Жироватт (ok), 08:44 , 10-Сен-25, (1) +6

Потому что раст никому не нужен Пользовались бы им столько же, сколько и нодой , localhostadmin (ok), 09:51 , 10-Сен-25, (7) +2

да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может Это т, пох. (?), 10:06 , 10-Сен-25, (8) +1
Юные хакеры просто не смогли написать код, на который боров не жалуется , Аноним (9), 10:14 , 10-Сен-25, (9) +3
Особенно Rust не нужен таким компаниям как Google, Meta, Amazon, Microsoft и C, vvwvv (?), 16:25 , 10-Сен-25, (20) –3

Потому, что порог входа сильно выше, чем в JS На расте пишут самые умные, их сл, Rev (ok), 15:27 , 10-Сен-25, (17) –3

Не Что бы писать на расте умным быть не надо, в этом одно из его преимуществ О, Аноним (19), 16:12 , 10-Сен-25, (19) –1

А автор serde_rs, который пытался протащить подстановку скачиваемых непонятно от, Cucumber (?), 07:41 , 11-Сен-25, (26)

Интересно что самый древний и большой maven central тоже не ломали вот так, пото, Аноним (28), 10:33 , 11-Сен-25, (28)

А зачем было ломать, утка сама собрана из зависимостей более чем полностью И ка, Аноним (2), 08:56 , 10-Сен-25, (2)

Взломанная СУБД - это уже не просто СУБД и не только СУБД , Diozan (ok), 09:28 , 10-Сен-25, (4) +5
Т е в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во в, 1 (??), 09:29 , 10-Сен-25, (5)

C C Java Net У кого из них есть S ecurity , Аноним (25), 22:11 , 10-Сен-25, (25) +1

Только у ru S t , АнонимичныйАноним (?), 08:33 , 11-Сен-25, (27)

Там для браузеров пакеты есть DuckDB-Wasm is an in-process analytical SQL datab, Аноним (6), 09:44 , 10-Сен-25, (6)

Скрыто модератором, 63506 (?), 09:26 , 10-Сен-25, (3)
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём После, Аноним (10), 10:31 , 10-Сен-25, (10) +1

А ничего что новость не про rust , Аноним (22), 17:49 , 10-Сен-25, (22)
На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не , Аноним (-), 18:38 , 10-Сен-25, (23)

Сами попейте таблетки крупные поставщики API для инференса недавно обнаружили и, Аноним (24), 20:33 , 10-Сен-25, (24) +1

А мне всегда интересно Там ведь во вставке был фактически IP атакующего Почему, Аноним (11), 11:29 , 10-Сен-25, (11)

Ну айпишник очередной ВЧ и что дальше , Аноним (12), 11:52 , 10-Сен-25, (12) +1

дальше звоним Бибе , Аноним (2), 13:49 , 10-Сен-25, (14)

пора антивирус для JS делать , Аноним (13), 13:13 , 10-Сен-25, (13)

rm -rf сойдёт , Tron is Whistling (?), 14:16 , 10-Сен-25, (15) +1

И опять NPM Может, пора что-то делать , Аноним (16), 15:12 , 10-Сен-25, (16)

Микрософт как царь Мидас Только тот все превращал в золото, а Микрософт все пре, AleksK (ok), 16:00 , 10-Сен-25, (18)
А что ты сделаешь если разработчики идиоты и ведутся на фишинг От этого ничего , Аноним (22), 17:49 , 10-Сен-25, (21) +1

Сообщения [Сортировка по времени | RSS]

1. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +6 +/–

Сообщение от Жироватт (ok), 10-Сен-25, 08:44

Шо, опять?
Никогда ж такого не было - и вот опять.
А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим

Ответить | Правка | Наверх | Cообщить модератору

7. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +2 +/–

Сообщение от localhostadmin (ok), 10-Сен-25, 09:51

Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой

Ответить | Правка | Наверх | Cообщить модератору

8. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от пох. (?), 10-Сен-25, 10:06

да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может.
Это тебе не нескучный js.

Ответить | Правка | Наверх | Cообщить модератору

9. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +3 +/–

Сообщение от Аноним (9), 10-Сен-25, 10:14

Юные хакеры просто не смогли написать код, на который боров не жалуется.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." –3 +/–

Сообщение от vvwvv (?), 10-Сен-25, 16:25

Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

17. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." –3 +/–

Сообщение от Rev (ok), 10-Сен-25, 15:27

> А, между прочим, карго так активно еще не ломали...
Потому, что порог входа сильно выше, чем в JS. На расте пишут самые умные, их сложнее обмануть и выудить учётные данные.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." –1 +/–

Сообщение от Аноним (19), 10-Сен-25, 16:12

Не. Что бы писать на расте умным быть не надо, в этом одно из его преимуществ. Он доступен всем. Чуть сложнее какой-нибудь Java.
Дело не в том, что пишущие на расте - умные. Дело в том, что отказывающиеся на нём писать - не сильно умные. Другими словами, не надо много ума, что пользоваться смартфоном. Но надо много неума, что бы отказываться им пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

26. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Cucumber (?), 11-Сен-25, 07:41

А автор serde_rs, который пытался протащить подстановку скачиваемых непонятно откуда блобов вместо компиляции своей либы из исходных текстов, он сильно умный?
Когда количество лиц не ограничено - всегда найдутся те, кто вводят пароли-ключи на фишинговых сайтах, суют в комп неронятные флешки, качают с первой ссылки гугла пиратский фотошоп, и т.д и т.п. И всякие многофакторные аутентификации с капчой и анальным зондом только размывают ответственность и заставляют много приседать, но кроме имитации бурной деятельности по имитации безопасности не дадут.
Rust просто не популярен, а так его crates ничем принципиально не отличается от pip или npmjs.

Ответить | Правка | Наверх | Cообщить модератору

28. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (28), 11-Сен-25, 10:33

Интересно что самый древний и большой maven central тоже не ломали вот так, потому что в JVM все сложнее и сложнее взять и подменить функцию отправки http запроса. А вот во всяких python-ruby-php-javascript мусорке это может сделать любой пакет без объявления войны. Вот где простор для стиллеров

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (2), 10-Сен-25, 08:56

А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.

Ответить | Правка | Наверх | Cообщить модератору

4. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +5 +/–

Сообщение от Diozan (ok), 10-Сен-25, 09:28

Взломанная СУБД - это уже не просто СУБД и не только СУБД....

Ответить | Правка | Наверх | Cообщить модератору

5. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от 1 (??), 10-Сен-25, 09:29

Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от Аноним (25), 10-Сен-25, 22:11

> Это же нода, - в названии S, это Security.
C/C++? Java? Net? У кого из них есть [S]ecurity?

Ответить | Правка | Наверх | Cообщить модератору

27. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от АнонимичныйАноним (?), 11-Сен-25, 08:33

Только у ru[S]t ;)

Ответить | Правка | Наверх | Cообщить модератору

6. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (6), 10-Сен-25, 09:44

Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. Скрыто модератором +/–

Сообщение от 63506 (?), 10-Сен-25, 09:26

Да-уж, неделька ужасов для хипстеров идет. Ждем продолжения банкета на соседних зумерских площадках.

Ответить | Правка | Наверх | Cообщить модератору

10. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от Аноним (10), 10-Сен-25, 10:31

Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.
На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.

Ответить | Правка | Наверх | Cообщить модератору

22. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (22), 10-Сен-25, 17:49

А ничего что новость не про rust?

Ответить | Правка | Наверх | Cообщить модератору

23. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (-), 10-Сен-25, 18:38

> Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.
> На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.
На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не ухудшились.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

24. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от Аноним (24), 10-Сен-25, 20:33

Сами попейте таблетки: крупные поставщики API для инференса недавно обнаружили использование моделей в качестве атаки червём. После чего уже на GitHub в Actions сама MS обнаружили червяка. Но для такой тупой атаки (просмотр файловой системы текстов и вычленение всех полезных для эксплуатации credentials) крупные модели не нужны, достаточно очень мелкой модели.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (11), 10-Сен-25, 11:29

А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?

Ответить | Правка | Наверх | Cообщить модератору

12. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от Аноним (12), 10-Сен-25, 11:52

Ну айпишник очередной ВЧ и что дальше?

Ответить | Правка | Наверх | Cообщить модератору

14. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (2), 10-Сен-25, 13:49

дальше звоним Бибе

Ответить | Правка | Наверх | Cообщить модератору

13. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (13), 10-Сен-25, 13:13

пора антивирус для JS делать)

Ответить | Правка | Наверх | Cообщить модератору

15. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от Tron is Whistling (?), 10-Сен-25, 14:16

rm -rf сойдёт?

Ответить | Правка | Наверх | Cообщить модератору

16. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от Аноним (16), 10-Сен-25, 15:12

И опять NPM... Может, пора что-то делать.

Ответить | Правка | Наверх | Cообщить модератору

18. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +/–

Сообщение от AleksK (ok), 10-Сен-25, 16:00

Микрософт как царь Мидас. Только тот все превращал в золото, а Микрософт все превращает в г**но. Даже винда, в тестах на 15% медленнее убунту оказалась.

Ответить | Правка | Наверх | Cообщить модератору

21. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..." +1 +/–

Сообщение от Аноним (22), 10-Сен-25, 17:49

А что ты сделаешь если разработчики идиоты и ведутся на фишинг? От этого ничего не спасёт. Изолировать компрометации тоже не получится - даже если пинить версии зависимостей их всё равно когда-нибудь придётся обновлять, а в момент когда ты их обновляешь ты можешь схватить скомпрометированную версию.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+6 +/–
Сообщение от Жироватт (ok), 10-Сен-25, 08:44
Шо, опять? Никогда ж такого не было - и вот опять. А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+2 +/–
	Сообщение от localhostadmin (ok), 10-Сен-25, 09:51
	Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от пох. (?), 10-Сен-25, 10:06
	да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может. Это тебе не нескучный js.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+3 +/–
	Сообщение от Аноним (9), 10-Сен-25, 10:14
	Юные хакеры просто не смогли написать код, на который боров не жалуется.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	20. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	–3 +/–
	Сообщение от vvwvv (?), 10-Сен-25, 16:25
	Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	17. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	–3 +/–
	Сообщение от Rev (ok), 10-Сен-25, 15:27
	> А, между прочим, карго так активно еще не ломали... Потому, что порог входа сильно выше, чем в JS. На расте пишут самые умные, их сложнее обмануть и выудить учётные данные.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	19. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	–1 +/–
	Сообщение от Аноним (19), 10-Сен-25, 16:12
	Не. Что бы писать на расте умным быть не надо, в этом одно из его преимуществ. Он доступен всем. Чуть сложнее какой-нибудь Java. Дело не в том, что пишущие на расте - умные. Дело в том, что отказывающиеся на нём писать - не сильно умные. Другими словами, не надо много ума, что пользоваться смартфоном. Но надо много неума, что бы отказываться им пользоваться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Cucumber (?), 11-Сен-25, 07:41
	А автор serde_rs, который пытался протащить подстановку скачиваемых непонятно откуда блобов вместо компиляции своей либы из исходных текстов, он сильно умный? Когда количество лиц не ограничено - всегда найдутся те, кто вводят пароли-ключи на фишинговых сайтах, суют в комп неронятные флешки, качают с первой ссылки гугла пиратский фотошоп, и т.д и т.п. И всякие многофакторные аутентификации с капчой и анальным зондом только размывают ответственность и заставляют много приседать, но кроме имитации бурной деятельности по имитации безопасности не дадут. Rust просто не популярен, а так его crates ничем принципиально не отличается от pip или npmjs.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (28), 11-Сен-25, 10:33
	Интересно что самый древний и большой maven central тоже не ломали вот так, потому что в JVM все сложнее и сложнее взять и подменить функцию отправки http запроса. А вот во всяких python-ruby-php-javascript мусорке это может сделать любой пакет без объявления войны. Вот где простор для стиллеров
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (2), 10-Сен-25, 08:56
А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+5 +/–
	Сообщение от Diozan (ok), 10-Сен-25, 09:28
	Взломанная СУБД - это уже не просто СУБД и не только СУБД....
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от 1 (??), 10-Сен-25, 09:29
	Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	25. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Аноним (25), 10-Сен-25, 22:11
	> Это же нода, - в названии S, это Security. C/C++? Java? Net? У кого из них есть [S]ecurity?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от АнонимичныйАноним (?), 11-Сен-25, 08:33
	Только у ru[S]t ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (6), 10-Сен-25, 09:44
	Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. Скрыто модератором	+/–
Сообщение от 63506 (?), 10-Сен-25, 09:26
Да-уж, неделька ужасов для хипстеров идет. Ждем продолжения банкета на соседних зумерских площадках.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
Сообщение от Аноним (10), 10-Сен-25, 10:31
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся. На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (22), 10-Сен-25, 17:49
	А ничего что новость не про rust?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (-), 10-Сен-25, 18:38
	> Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся. > На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется. На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не ухудшились.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	24. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Аноним (24), 10-Сен-25, 20:33
	Сами попейте таблетки: крупные поставщики API для инференса недавно обнаружили использование моделей в качестве атаки червём. После чего уже на GitHub в Actions сама MS обнаружили червяка. Но для такой тупой атаки (просмотр файловой системы текстов и вычленение всех полезных для эксплуатации credentials) крупные модели не нужны, достаточно очень мелкой модели.
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (11), 10-Сен-25, 11:29
А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Аноним (12), 10-Сен-25, 11:52
	Ну айпишник очередной ВЧ и что дальше?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от Аноним (2), 10-Сен-25, 13:49
	дальше звоним Бибе
	Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (13), 10-Сен-25, 13:13
пора антивирус для JS делать)
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Tron is Whistling (?), 10-Сен-25, 14:16
	rm -rf сойдёт?
	Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
Сообщение от Аноним (16), 10-Сен-25, 15:12
И опять NPM... Может, пора что-то делать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+/–
	Сообщение от AleksK (ok), 10-Сен-25, 16:00
	Микрософт как царь Мидас. Только тот все превращал в золото, а Микрософт все превращает в г**но. Даже винда, в тестах на 15% медленнее убунту оказалась.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."	+1 +/–
	Сообщение от Аноним (22), 10-Сен-25, 17:49
	А что ты сделаешь если разработчики идиоты и ведутся на фишинг? От этого ничего не спасёт. Изолировать компрометации тоже не получится - даже если пинить версии зависимостей их всё равно когда-нибудь придётся обновлять, а в момент когда ты их обновляешь ты можешь схватить скомпрометированную версию.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору