forum.opennet.ru - "В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь" (12)

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"	+/–
Сообщение от opennews (ok), 12-Май-26, 23:29
В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65432
Ответить \| Правка \| Cообщить модератору

Оглавление

Какая замечательная и безопасная экосистема у JS-ников , Rev (ok), 23:29 , 12-Май-26, (1) +8

у каждого разработчика должна быть настроена firejail , anonymous (??), 23:46 , 12-Май-26, (7) –1
Скрыто модератором, Джон Титор (ok), 00:39 , 13-Май-26, (11)

Это божественно , Аноним (2), 23:29 , 12-Май-26, (2) +3
Ну что начинаем собрание экспертов кого-то взломали, тут явно виноват джаваскри, Аноним (3), 23:37 , 12-Май-26, (3)

100 виноват Micro oft, они ведь владеют npm, S404 (?), 23:41 , 12-Май-26, (4)
Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть , Аноним83 (?), 00:06 , 13-Май-26, (8) –1
Скрыто модератором, Джон Титор (ok), 00:41 , 13-Май-26, (12)

Что делать Общий сбор , Аноним (5), 23:42 , 12-Май-26, (5)

Скрыто модератором, S404 (?), 23:44 , 12-Май-26, (6)

Плата за использование бесплатных публичных сервисов Жаловаться в таких случаях , НектоОткудаТо (?), 00:06 , 13-Май-26, (9) +1
Скрыто модератором, Джон Титор (ok), 00:53 , 13-Май-26, (13)

Сообщения [Сортировка по времени | RSS]

1. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +8 +/–

Сообщение от Rev (ok), 12-Май-26, 23:29

Какая замечательная и безопасная экосистема у JS-ников!

Ответить | Правка | Наверх | Cообщить модератору

7. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." –1 +/–

Сообщение от anonymous (??), 12-Май-26, 23:46

у каждого разработчика должна быть настроена firejail.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 13-Май-26, 00:39

Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +3 +/–

Сообщение от Аноним (2), 12-Май-26, 23:29

Это божественно!

Ответить | Правка | Наверх | Cообщить модератору

3. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от Аноним (3), 12-Май-26, 23:37

Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.

Ответить | Правка | Наверх | Cообщить модератору

4. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от S404 (?), 12-Май-26, 23:41

100% виноват Micro$oft, они ведь владеют npm

Ответить | Правка | Наверх | Cообщить модератору

8. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." –1 +/–

Сообщение от Аноним83 (?), 13-Май-26, 00:06

Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли.
Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 13-Май-26, 00:41

Я использовал TanStack

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от Аноним (5), 12-Май-26, 23:42

Что делать ? Общий сбор!

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором +/–

Сообщение от S404 (?), 12-Май-26, 23:44

Действовать наперёд, сразу удалить французкий "rm -fr ~/"

Ответить | Правка | Наверх | Cообщить модератору

9. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +1 +/–

Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06

Плата за использование бесплатных публичных сервисов.
Жаловаться в таких случаях пострадавшие могут только на себя.
Без злорадства всякого пишу, но и без сожаления.

Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 13-Май-26, 00:53

> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem.
Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+8 +/–
Сообщение от Rev (ok), 12-Май-26, 23:29
Какая замечательная и безопасная экосистема у JS-ников!
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	–1 +/–
	Сообщение от anonymous (??), 12-Май-26, 23:46
	у каждого разработчика должна быть настроена firejail.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. Скрыто модератором	+/–
	Сообщение от Джон Титор (ok), 13-Май-26, 00:39
	Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+3 +/–
Сообщение от Аноним (2), 12-Май-26, 23:29
Это божественно!
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
Сообщение от Аноним (3), 12-Май-26, 23:37
Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
	Сообщение от S404 (?), 12-Май-26, 23:41
	100% виноват Micro$oft, они ведь владеют npm
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	–1 +/–
	Сообщение от Аноним83 (?), 13-Май-26, 00:06
	Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли. Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. Скрыто модератором	+/–
	Сообщение от Джон Титор (ok), 13-Май-26, 00:41
	Я использовал TanStack
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

5. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
Сообщение от Аноним (5), 12-Май-26, 23:42
Что делать ? Общий сбор!
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. Скрыто модератором	+/–
	Сообщение от S404 (?), 12-Май-26, 23:44
	Действовать наперёд, сразу удалить французкий "rm -fr ~/"
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+1 +/–
Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06
Плата за использование бесплатных публичных сервисов. Жаловаться в таких случаях пострадавшие могут только на себя. Без злорадства всякого пишу, но и без сожаления.
Ответить \| Правка \| Наверх \| Cообщить модератору

13. Скрыто модератором	+/–
Сообщение от Джон Титор (ok), 13-Май-26, 00:53
> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem. Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.
Ответить \| Правка \| Наверх \| Cообщить модератору