The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"  +/
Сообщение от opennews (ok), 12-Май-26, 23:29 
В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65432

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +18 +/
Сообщение от Rev (ok), 12-Май-26, 23:29 
Какая замечательная и безопасная экосистема у JS-ников!
Ответить | Правка | Наверх | Cообщить модератору

7. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –2 +/
Сообщение от anonymous (??), 12-Май-26, 23:46 
у каждого разработчика должна быть настроена firejail.
Ответить | Правка | Наверх | Cообщить модератору

23. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –1 +/
Сообщение от Аноним (23), 13-Май-26, 04:50 
VScode и Dev контейнеры. Стандарт индустрии, по факту.
Ответить | Правка | Наверх | Cообщить модератору

27. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +1 +/
Сообщение от Аноним (27), 13-Май-26, 07:42 
> 2026
> считать мелкософтовские поделки за стандарт
> пакетик
Ответить | Правка | Наверх | Cообщить модератору

34. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Сладкая булочка (?), 13-Май-26, 09:37 
> VScode и Dev контейнеры. Стандарт индустрии, по факту.

Индустрия с тобой сейчас в одной комнате?

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

46. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +1 +/
Сообщение от Аноним (46), 13-Май-26, 11:18 
Да, в одной. Нитакусики с vim и emacs не в счёт.
Ответить | Правка | Наверх | Cообщить модератору

64. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (64), 13-Май-26, 14:54 
> Да, в одной. Нитакусики с vim и emacs не в счёт.

Но VSCode это и есть клон парадигмы emacs/vim. Редактор + плагины + тулзы, вместо монстра иде. У вскод только сам редактор отстой, если юзать без плагинов на вим или емакс хоткеи.

Ответить | Правка | Наверх | Cообщить модератору

56. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (-), 13-Май-26, 12:45 
У каждого разработчика должна быть голова на плечах.

...

И QubesOS.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Джон Титор (ok), 13-Май-26, 00:39 
Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –2 +/
Сообщение от kai3341 (ok), 13-Май-26, 01:27 
> Какая замечательная и безопасная экосистема у JS-ников!

Иногда лучше жевать, чем говорить. Атака стара как мир. Принципиально уязвимы __все__ пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем более не под все ОС

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –4 +/
Сообщение от Аноним (27), 13-Май-26, 07:44 
ой ой, уязвимы все, но почему-то только у жсников проблемы
Ответить | Правка | Наверх | Cообщить модератору

45. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +1 +/
Сообщение от Аноним (64), 13-Май-26, 11:17 
>ой ой, уязвимы все, но почему-то только у жсников проблемы

Может быть это связано не с js, а например, с размером и числом юзеров сервиса? Да не, не может такого быть.

Ответить | Правка | Наверх | Cообщить модератору

50. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (50), 13-Май-26, 11:39 
> Может быть это связано не с js, а например, с размером и числом юзеров сервиса? Да не, не может такого быть.

С одной стороны да.
С другой - даже в ненужной недоОСь типа BSD нашли отличный бекдорчик живущий с 2013 года.

Но тут порадовала оперативность нахождения и устранения.
Это тебе не ХЗ библиотека, которую обнаружили спустя месяц.

Ответить | Правка | Наверх | Cообщить модератору

60. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Сладкая булочка (?), 13-Май-26, 14:00 
>> Какая замечательная и безопасная экосистема у JS-ников!
> Принципиально уязвимы __все__
> пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том,
> что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это
> жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем
> более не под все ОС

Никто тебе не мешает собирать в изолированном окружении.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

26. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +2 +/
Сообщение от OpenBotNET (ok), 13-Май-26, 07:12 
Это "безпасность" GitHub. Micro$oft срала на безопасность своих пользователей еще начиная с MS DOS. То есть всегда!
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +3 +/
Сообщение от Аноним (2), 12-Май-26, 23:29 
Это божественно!
Ответить | Правка | Наверх | Cообщить модератору

3. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (64), 12-Май-26, 23:37 
Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.
Ответить | Правка | Наверх | Cообщить модератору

4. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от S404 (?), 12-Май-26, 23:41 
100% виноват Micro$oft, они ведь владеют npm
Ответить | Правка | Наверх | Cообщить модератору

8. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –2 +/
Сообщение от Аноним83 (?), 13-Май-26, 00:06 
Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли.
Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –3 +/
Сообщение от Джон Титор (ok), 13-Май-26, 00:41 
Я использовал TanStack
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (5), 12-Май-26, 23:42 
Что делать ? Общий сбор!
Ответить | Правка | Наверх | Cообщить модератору

6. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +3 +/
Сообщение от S404 (?), 12-Май-26, 23:44 
Действовать наперёд, сразу удалить французкий "rm -fr ~/"
Ответить | Правка | Наверх | Cообщить модератору

65. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (5), 13-Май-26, 15:03 
>в случае отзыва токена выполнял команду "rm -rf ~/"
Ответить | Правка | Наверх | Cообщить модератору

32. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (32), 13-Май-26, 09:06 
Отвязанный от $язычка менеджер пакетов.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

9. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06 
Плата за использование бесплатных публичных сервисов.
Жаловаться в таких случаях пострадавшие могут только на себя.
Без злорадства всякого пишу, но и без сожаления.
Ответить | Правка | Наверх | Cообщить модератору

14. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +7 +/
Сообщение от Аноним (-), 13-Май-26, 01:08 
> Без злорадства всякого пишу

тут так не принято

Ответить | Правка | Наверх | Cообщить модератору

16. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +1 +/
Сообщение от Джон Титор (ok), 13-Май-26, 01:22 
Если они начнут брать плату за открытый код, то люди просто уйдут и массово. Они то конечно это будут делать потихоньку и тем не менее кого-то потеряют. Кстати а как там с артефактами у gitflic? Есть аналог npm?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

21. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от 12yoexpert (ok), 13-Май-26, 03:59 
согласен, давай будем платить михалкову, а скачивать через госуслуги

можно ещё эплу с гуглом заставить платить

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

31. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от НектоОткудаТо (?), 13-Май-26, 09:00 
А ещё в огороде бузина растёт, знаете ли)
Ответить | Правка | Наверх | Cообщить модератору

13. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Джон Титор (ok), 13-Май-26, 00:53 
> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem.

Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.

Ответить | Правка | Наверх | Cообщить модератору

25. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (25), 13-Май-26, 06:55 
Ща ии все найдет и исправит.
Ответить | Правка | Наверх | Cообщить модератору

55. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (2), 13-Май-26, 12:40 
Удалит вместе со всеми базами и бэкапами.
Ответить | Правка | Наверх | Cообщить модератору

30. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Tron is Whistling (?), 13-Май-26, 08:36 
Ну и отлично.
Ответить | Правка | Наверх | Cообщить модератору

33. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –1 +/
Сообщение от Аноним (33), 13-Май-26, 09:12 
А на название-то стека обратите внимание TanStack ;) Совпалает с фамилией одного известного персонажа.
Ответить | Правка | Наверх | Cообщить модератору

42. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Джон Титор (ok), 13-Май-26, 10:44 
> А на название-то стека обратите внимание TanStack ;) Совпалает с фамилией одного
> известного персонажа.

Это обычный фреймворк. У него есть аналоги, но этот весьма популярен.

Ответить | Правка | Наверх | Cообщить модератору

35. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –1 +/
Сообщение от Сладкая булочка (?), 13-Май-26, 09:38 
В npm без перемен.
Ответить | Правка | Наверх | Cообщить модератору

36. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Tron is Whistling (?), 13-Май-26, 09:46 
~/ - это ещё по-божески, пожалели.
Ответить | Правка | Наверх | Cообщить модератору

54. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Сладкая булочка (?), 13-Май-26, 12:36 
Самое ценное в современных системах у пользователей в хомяке. Сиситемные файлы восстановить можно.
Ответить | Правка | Наверх | Cообщить модератору

62. Скрыто модератором  +/
Сообщение от Tron is Whistling (?), 13-Май-26, 14:49 
Ответить | Правка | Наверх | Cообщить модератору

37. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от FSA (ok), 13-Май-26, 09:57 
Сколько нытья в комментариях. Лучше скажите какие пакеты пострадали.
Ответить | Правка | Наверх | Cообщить модератору

38. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +1 +/
Сообщение от Аноним (38), 13-Май-26, 10:02 
> замечены через 20 минут и блокированы спустя полтора часа

Оперативно сработали. Считаю хороший результат.

Ответить | Правка | Наверх | Cообщить модератору

39. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  –1 +/
Сообщение от Аноним (39), 13-Май-26, 10:08 
> в случае отзыва токена выполнял команду "rm -rf ~/".

Что-то прямо некрасиво как-то.

Ответить | Правка | Наверх | Cообщить модератору

48. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (48), 13-Май-26, 11:34 
Если кто-то не обучаем и не может сесть и почитать пару статей, где будет сказано как делать нужно и как не нужно, то пусть дрессируется на своём собственном опыте.
Ответить | Правка | Наверх | Cообщить модератору

44. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (44), 13-Май-26, 11:10 
В NPM внедрили вредноносный код
> замечены через 20 минут и блокированы спустя полтора часа

В ядро линукс внедрили бекдор:
> Copy Fail
> 2017 году при внесении оптимизации
> Dirty Frag
> проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года

Сидящие на опеньке плюсуют коммент:
"Какая замечательная и безопасная экосистема у JS-ников!"

Ответить | Правка | Наверх | Cообщить модератору

47. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (46), 13-Май-26, 11:22 
Всё так. А потом ещё сопротивляются внедрению ИИ для анализа кода ядра.
Ответить | Правка | Наверх | Cообщить модератору

49. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (49), 13-Май-26, 11:38 
>В NPM внедрили вредноносный код
>В ядро линукс внедрили бекдор

Ну ты и сравнил! Проектик TanStack на JS и ядро на 40+ млн. строк на С.

>Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!"

И правильно делают.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

51. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (50), 13-Май-26, 11:41 
> Ну ты и сравнил! Проектик TanStack на JS и ядро на 40+ млн. строк на С.

В ведре сколько тысяч разработчиков и коммитеров?
Куда смотрели эти тысячи глаз на протяжении кучи лет?
Сколько миллионов строк кода это автогенерированные дрова?

>>Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!"
> И правильно делают.

Конечно!
Им надо сохранять репутацию uдuйотов.


Ответить | Правка | Наверх | Cообщить модератору

52. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (49), 13-Май-26, 11:49 
>В ведре сколько тысяч разработчиков и коммитеров?

Не зависимо от количества конструкторов и сборщиков, сравнивать Боинг-747 с дельтапланом абсолютно не корректно.

>Конечно!
>Им надо сохранять репутацию uдuйотов.

Согласен. Ты своим примером полностью это доказал.

Ответить | Правка | Наверх | Cообщить модератору

53. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (53), 13-Май-26, 12:29 
> Не зависимо от количества конструкторов и сборщиков, сравнивать Боинг-747 с дельтапланом абсолютно не корректно.

Конечно.
Надежность боинга должна быть на несколько порядков выше, чем конструкция дельтаплана.
Но открывая хотя бы
lore.kernel.org/linux-cve-announce/
видно что это далеко не так.

Ответить | Правка | Наверх | Cообщить модератору

57. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (2), 13-Май-26, 12:52 
> сравнивать Боинг-747 с дельтапланом абсолютно не корректно

Естественно, не корректно. Боинг завалил куда больше народу, чем дельтапланы.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

58. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (58), 13-Май-26, 13:16 
>> сравнивать Боинг-747 с дельтапланом абсолютно не корректно
> Естественно, не корректно. Боинг завалил куда больше народу, чем дельтапланы.

Ага, а 100% людей пивших воду - умерли (с)
А теперь посчитай на часы полета и выяснится, что шансов помереть в автомобиле или ОТ гораздо больше.


Ответить | Правка | Наверх | Cообщить модератору

61. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Аноним (61), 13-Май-26, 14:28 
Всё это издержки автоматизации. Ленивое сопровождение NPM.
Ответить | Правка | Наверх | Cообщить модератору

63. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."  +/
Сообщение от Tron is Whistling (?), 13-Май-26, 14:52 
> Всё это издержки автоматизации. Ленивое сопровождение NPM.

Тут со скамейки девляпсов вопрос внезапно: а что, автоматизацию сопровождать нужно?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру