Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от opennews (??), 17-Сен-25, 09:27
Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации  NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63894
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+14 +/–
Сообщение от Аноним (1), 17-Сен-25, 09:27
> червь поразил 187 пакетов в NPM Не может быть! Никогда такого не было!
Ответить | Правка | Наверх | Cообщить модератору

	12. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+2 +/–
	Сообщение от Жироватт (ok), 17-Сен-25, 10:14
	И вот опять! Но на этот раз не криптостиллер и не майнер - уже что-то новое
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от 1 (??), 17-Сен-25, 15:05
	Эволюция ! Уже добрались до червячков, скоро кони поскачут.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (18), 17-Сен-25, 11:52
	Дежурная шутка. Уже не смешно.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	26. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–1 +/–
	Сообщение от Аноним (26), 17-Сен-25, 12:05
	> Дежурная шутка. Уже не смешно. Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (97), 17-Сен-25, 16:40
	так это вам же и наставили.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+2 +/–
	Сообщение от Жироватт (ok), 17-Сен-25, 12:13
	Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	39. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (1), 17-Сен-25, 13:20
	Ёжики кололись и плакали, но продолжали грызть NPM.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

2. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–6 +/–
Сообщение от Аноним (-), 17-Сен-25, 09:47
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages. Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!
Ответить | Правка | Наверх | Cообщить модератору

	4. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+9 +/–
	Сообщение от ptr (ok), 17-Сен-25, 09:59
	> червь поразил Как раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе. > total of 3,583,991 packages Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 12:00
	А как они выявляют заражение? Сканируют каждый раз вручную весь репозитарий антивирусом?
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (1), 17-Сен-25, 13:21
	А на что сканировать, если не знаешь, что искать? Сейчас такие технологии у программистов, что обычный код работает, как троян.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (24), 17-Сен-25, 14:14
	ну хотя бы поиск по подстроке "Shai-Hulud" и файлики "data.json"... а так, да, можно вообще ничего не делать - зачем, если программисты все равно так пишут.
	Ответить | Правка | Наверх | Cообщить модератору

	56. Скрыто модератором	+/–
	Сообщение от Аноним (56), 17-Сен-25, 14:22
	>и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения Если есть токен доступа, то запушить можно автоматически.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	6. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+5 +/–
	Сообщение от Аноним (6), 17-Сен-25, 10:04
	Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+4 +/–
Сообщение от Аноним (3), 17-Сен-25, 09:56
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимости Невероятно
Ответить | Правка | Наверх | Cообщить модератору

7. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Аноним (7), 17-Сен-25, 10:05
Автоматизацию теперь червем называют?
Ответить | Правка | Наверх | Cообщить модератору

	19. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+4 +/–
	Сообщение от Аноним (19), 17-Сен-25, 11:55
	Автоматизация распространения вредоноса - да. пс: очередной неруззкий чебурашка.
	Ответить | Правка | Наверх | Cообщить модератору

10. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от freehck (ok), 17-Сен-25, 10:13
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog. Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.
Ответить | Правка | Наверх | Cообщить модератору

11. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+6 +/–
Сообщение от Аноним (11), 17-Сен-25, 10:13
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз. Появление червя был лишь вопросом времени.
Ответить | Правка | Наверх | Cообщить модератору

	28. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Веб разработчик (?), 17-Сен-25, 12:09
	А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Данные в так называемом поле Name (?), 17-Сен-25, 13:23
	Так и есть. Просто популярность JS почему-то сильно преуменьшина
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от пивец (?), 17-Сен-25, 17:25
	Кто эта Преуменьшина? Певица? Как Цыганова?
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (88), 17-Сен-25, 16:06
	А вы думаете что js это одно, а остальное - другое? Нет, эта практика порочная, вне зависимости от выбранного языка.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

13. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+2 +/–
Сообщение от 12yoexpert (ok), 17-Сен-25, 10:42
красивое
Ответить | Правка | Наверх | Cообщить модератору

	14. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от пох. (?), 17-Сен-25, 11:11
	Ага, а говорили - "язык плохой"!
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+3 +/–
	Сообщение от Аноним (29), 17-Сен-25, 12:10
	Прямо с языка сорвал. Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (34), 17-Сен-25, 12:38
	Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–3 +/–
	Сообщение от Аноним (-), 17-Сен-25, 13:31
	> Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io? Шо будет, шо будет? Ничего не будет (с) opennet.ru/opennews/art.shtml?num=63875 Сведений об успешном захвате учётных данных в ходе атаки пока нет. Растовики просто оказались поумнее жаваскриптеров или разработчиков СИшных ХЗ либ.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+3 +/–
	Сообщение от 12yoexpert (ok), 17-Сен-25, 14:17
	растовики это и есть джаваскриптеры, все остальные даже думать об этом брезгуют
	Ответить | Правка | Наверх | Cообщить модератору

	100. Скрыто модератором	–1 +/–
	Сообщение от Аноним (-), 17-Сен-25, 17:16
	Мимо. Джаваскрипт - это новая дыряшка. Раньше каждую неделю выходили новости о дыре в очередной сишной библиотеке, теперь каждую неделю выходят новости и о сишной дыре, и о заражении пакетов в NPM.
	Ответить | Правка | Наверх | Cообщить модератору

	102. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 17-Сен-25, 17:25
	> Джаваскрипт - это новая дыряшка джаваскрипт старше раста, иди проспись
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (58), 17-Сен-25, 14:25
	Воот, __сведений__ нет. Пока нет.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	87. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (-), 17-Сен-25, 16:04
	Ну вот когда будут, тогда  ̶и̶ ̶п̶о̶г̶о̶в̶о̶р̶и̶м̶ будем слушать "какое карго шeрeт0". Пока это просто крики из 🐓 угла. А то так можно сказать "в linux kernel пока не найден бекдор". Благо прецеденты были от АНБ, которые по 10 лет жили не тужили. Т.е он там может быть с очень ненулевой вероятностью)
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+3 +/–
	Сообщение от пох. (?), 17-Сен-25, 14:18
	злой хакер запутается в закорючках, устанет бегать от борова, заплачет и уйдет?
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

15. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–1 +/–
Сообщение от Аноним (15), 17-Сен-25, 11:13
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
Ответить | Правка | Наверх | Cообщить модератору

	27. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (27), 17-Сен-25, 12:08
	А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (99), 17-Сен-25, 16:53
	Ну если гос комп куплен во времена Бени и с тех пор не менялся - не мудрено. Тут на четвертых то пнях воют что страницы тяжелые, с таким то вообще жизни нет. Мож оно это - написать повыше чтоб компы перестали кирпичом чистить да подновили парк а то уже реакт у них на 3 секунды подвисает)
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от SKZ (?), 17-Сен-25, 11:32
А хоть в жабаскрипт что-нибудь компилирует?
Ответить | Правка | Наверх | Cообщить модератору

	21. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 11:56
	Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (-), 17-Сен-25, 14:19
	Если я правильно понял, то в качестве примера можно дать Elm, PureScript, Haskell (ghcjs), CoffeeScript.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	64. Скрыто модератором	+/–
	Сообщение от SKZ (?), 17-Сен-25, 14:49
	> Если я правильно понял, то в качестве примера можно дать Elm, PureScript, > Haskell (ghcjs), CoffeeScript. Речь о сабже - делает ли он это (сама смузи-формулировка "компиляция в жабаскрипт" доставляет, просто-напросто)
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (56), 17-Сен-25, 14:24
	А так же ocaml, type script, reason ml, rescript, flow.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	71. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 15:05
	комментатор поскупился на запятые, скорее всего он имел ввиду "в этом вашем жаваскрипт, ну хоть кто нибудь компилирует код в бинарники?" в оригинале комментария, да, выглядит косноязычно и вырвиглазно.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	76. Скрыто модератором	+/–
	Сообщение от SKZ (?), 17-Сен-25, 15:23
	Нет, смузи-кодеры именно, что "компилируют в жабаскрипт". Вот и вопрос - делает ли что-то подобное сабж?
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (82), 17-Сен-25, 15:48
	одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	96. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от SKZ (?), 17-Сен-25, 16:29
	> одни пишут зловред, другие орудуют привилегированным токеном, подбрасывая зловред в зависимости. И все при деле.
	Ответить | Правка | Наверх | Cообщить модератору

20. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
Сообщение от Аноним (24), 17-Сен-25, 11:55
Как опять? Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
Ответить | Правка | Наверх | Cообщить модератору

23. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+2 +/–
Сообщение от Аноним (27), 17-Сен-25, 11:59
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов. Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
Ответить | Правка | Наверх | Cообщить модератору

	31. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (31), 17-Сен-25, 12:18
	Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
	Ответить | Правка | Наверх | Cообщить модератору

	35. Скрыто модератором	+/–
	Сообщение от Аноним (34), 17-Сен-25, 12:39
	Но а где взять на замену столько прокладок?
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 15:02
	Яндекс как то попробовал из курьеров-доставщиков еды, сделать армию "погромистов", и освоить профессии тестировщика, аналитика, дизайнера, разработчика ПО и др. Но у них "что то пошло не так"! В чем же они просчитались - до сих пор не поймут. Право рассчитывать на место в программе «Яндекса» смогут курьеры со стажем работы в «Еде», «Лавке» или «Доставке» не менее полугода. ... Следующим этапом будет тест на мотивацию https://www.cnews.ru/news/top/2022-04-19_yandeks_verbuet_kur...
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	33. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–2 +/–
	Сообщение от Карлос Сношайтилис (ok), 17-Сен-25, 12:36
	> задуматься от отказа от подобных моделей растпространения пакетов Проблема не в модели, а в отсутствии изоляции. Большинство разработчиков не используют локально контейнеры и при запуске пакетов, и те могут делать с локальной фс что захотят. Это не просто дырочка в безопасности, это целый портал.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	62. Скрыто модератором	+/–
	Сообщение от Аноним (56), 17-Сен-25, 14:32
	Критикуешь - предлагай.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

25. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Аноним (24), 17-Сен-25, 12:03
>которые способен обнаружить сканер TruffleHog Не пора ли объявить указанный пакет зловредом в их репозитарии? Или будут продолжать жрать кактус и выкапывать стюардессу...
Ответить | Правка | Наверх | Cообщить модератору

32. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+4 +/–
Сообщение от SKZ (?), 17-Сен-25, 12:28
NPM и всре жабаскриптовое болото - это сам по себе червь, пожирающий тонны ресурсов по всему миру.
Ответить | Правка | Наверх | Cообщить модератору

	37. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Соль земли2 (?), 17-Сен-25, 12:49
	Особенно бесит, что нельзя переместить node_modules. Костыли не предлагать.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (44), 17-Сен-25, 13:31
	В вам никто ничего и не предлагает.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 14:17
	1) смотря что вы считаете костылями. 2) а что не костылями. 3) стандартный "ln -s" на уровне файловой системы Вас уже не устраивает?
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	52. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от 12yoexpert (ok), 17-Сен-25, 14:19
	это же консоль, ты что, псих что ли? мы не знаем, что это такое
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 14:57
	ну, прокатило бы, еслиб я не знал что в js тоже есть консоль. и с нее js и начинался.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от 1 (??), 17-Сен-25, 15:09
	И в этой консоли можно выполнить ln -s и mount ?
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 15:27
	нет. по большей части это просто консоль вывода, чем ввода.
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Соль земли2 (?), 17-Сен-25, 16:23
	Это костыль! В Python можно перенести куда угодно virtualenv, rust/go ставят тоже всё отдельно.
	Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

36. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Ценитель GPL рогаликов (?), 17-Сен-25, 12:47
Чуть ли не каждую неделю какие проблемы с безопасностью в NPM репах. Складывается впечатление, что какие-то спецслужбы учатся взламывать и заражать GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору

	42. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (44), 17-Сен-25, 13:30
	Нет. Дефекты архитектуры проекта.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 14:18
	Стюардесса уже была такая, когда ее выкопали!
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (45), 17-Сен-25, 13:54
	Не надо искать злой умысел в том что прекрасно объясняется глупостью и некомпетентностью.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	54. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 17-Сен-25, 14:20
	не надо копипастить дебильные цитаты с умным лицом
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 14:55
	«Умное лицо — это ещё не признак ума, господа. Все глупости на земле делаются именно с этим выражением лица. Улыбайтесь, господа. Улыбайтесь!»
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

	90. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (82), 17-Сен-25, 16:10
	То есть червь был всегда. Он просто спал энное количество лет и проснулся сам по себе? Когда хотят свести к глупости - это заметают следы и отвлекают внимание.
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

	74. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от 1 (??), 17-Сен-25, 15:12
	Нифигасе ... Т.е. "Говорим NPM - подразумеваем Linux! Говорим Linux - подразумеваем NPM !" (почти дословная цитата)  ?
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	93. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Соль земли2 (?), 17-Сен-25, 16:25
	Они не будут так рисковать быть раскрытыми.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

53. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
Сообщение от Аноним (56), 17-Сен-25, 14:20
Интересно, сколько времени нужно, чтобы ыксперды перестали обсуждать язык и репозитории, и вспомнили про то, что работа с репозиториями должна проводится из среды, не имеющей возможности выполнения кода, а выполнение кода должно быть в среде, не имеющей доступа к репозиторию.
Ответить | Правка | Наверх | Cообщить модератору

	55. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от 12yoexpert (ok), 17-Сен-25, 14:21
	мы бы вспомнили, если бы это было правдой, но это не она
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (34), 17-Сен-25, 14:30
	Вы готовы назватьтакую среду?
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	63. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–1 +/–
	Сообщение от Аноним (56), 17-Сен-25, 14:35
	Подойдёт даже обычный докер контейнер. В докере - noda и запуск кода, на хосте - никакой ноды. Ну и при пробросе файлов, сделать .git недоступной для контейнера, например храня весь код в src, которая на том же уровне, что и .git. При желании, вместо докера можно взять что угодно, хоть jail из bsd.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–1 +/–
	Сообщение от Аноним (24), 17-Сен-25, 14:53
	про выпрыгивание из докера на уровень хоста - не, не слышали про данные уязвимости? (я понимаю, притянуто за уши, но в целом с вами согласен.)
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Самораспространяющийся червь поразил 187 пакетов в NPM"	–1 +/–
	Сообщение от 1 (??), 17-Сен-25, 15:14
	Ок. У тебя докер, в докере нода, в ноде майнер. "Ну что сынку помогли тебе твои лях^W докеры ?"
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

	77. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+1 +/–
	Сообщение от Аноним (24), 17-Сен-25, 15:24
	Например, если нужно, чтобы контейнер использовал не более 01% одного процессора, используется команда: docker run --cpus="0.01" тестовый контейнер Например, можно задать доли в два раза большие для одного контейнера по сравнению с другими: docker run --cpu-shares=2048 тестовый контейнер два как бы это основы...
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (56), 17-Сен-25, 15:48
	Майнеру нужен доступ в сеть, а условный докер можно запустить без сети, а зависимости ставить через условный nix. Nix собирает зависимости в изолированном окружении, без доступа к сети. >"Ну что сынку помогли тебе твои лях^W докеры ?" Вам нужно больше продвинутых инструментов, а не меньше.
	Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

	80. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (82), 17-Сен-25, 15:33
	"активная среда 1" -> "данные" -> "активный репозиторий без прав изменения пакетов" сейчас "клиент репозитория" -> "репозиторий" - данные никто не видит и не может охранять их целостность и анализировать на безопасность.
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

65. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Сосиска (?), 17-Сен-25, 14:51
С этими вирусами теперь и вправду придётся по старинке вручную поддерживать зависимости. А тесты запускать внутри виртуалки.
Ответить | Правка | Наверх | Cообщить модератору

	67. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (24), 17-Сен-25, 14:54
	а мы и не прекращали. что у вас за среда разработки, в которой Вы манкируете правилами безопасности?
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Аноним (82), 17-Сен-25, 16:06
	>придётся по старинке вручную поддерживать зависимости. и не сойти с ума.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	95. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
	Сообщение от Соль земли2 (?), 17-Сен-25, 16:29
	Сначала руками, потом напишете скрипты, а потом и свою пакетную систему. Раз никто этого ещё не сделал, значит всех всё устраивает.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

79. Скрыто модератором	+/–
Сообщение от Аноним (82), 17-Сен-25, 15:28
А вот и "паровозик" в программной управляющей инфраструктуре. Контроль гуманоидов над процессом утрачен.
Ответить | Правка | Наверх | Cообщить модератору

84. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Аноним (82), 17-Сен-25, 16:00
>Вредоносные релизы формируются для 20 наиболее популярных пакетов Вот так просто объявить релиз?! А где спасительная - в данном случае - бюрократия? Где этапы заморозки и т.п.?
Ответить | Правка | Наверх | Cообщить модератору

86. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Аноним (82), 17-Сен-25, 16:03
Объекты и субъекты управления в этой среде стали "прозрачными" и поддаются автоматизации для хулиганов - как структура исполнительного модуля в памяти. Не удивительно, что появился  червь.
Ответить | Правка | Наверх | Cообщить модератору

98. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Гена (??), 17-Сен-25, 16:53
Судя по всему через пару дней ждем новостей об аналогичном червячке в крейте Раста. Посмотрим, как зумеры будут его ловить. Модератор перед затиранием поста, ознакомься пожалуйста, с новостью https://www.opennet.dev/opennews/art.shtml?num=63875
Ответить | Правка | Наверх | Cообщить модератору

103. "Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от Аноним (-), 17-Сен-25, 17:53
> Судя по всему, атака не ограничивается упомянутыми 187 пакетами Хипстики такие хипстики. Даже не знают - насколько именно их поимели. Просто топчик. Вроде 187 пакетов, но вроде продолжает создаваться. А, погодите, ноджыэс же вместе с гитхабом макйрософт взял под крыло. И сделав всем мозг своими 2FA и чем там еще ... обеспечил безопасность. И выглядела эта безопасность как гигантский червь. Окей, майкрософт!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема