forum.opennet.ru - "Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2" (27)

"Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2"	+/–
Сообщение от opennews (??), 04-Дек-25, 23:40
Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64377
Ответить \| Правка \| Cообщить модератору

Оглавление

А можно вкратце, обычному юзеру надо что-то делать , Аноним (1), 23:40 , 04-Дек-25, (1) –2

не использовать javascript, typescript и все прочие недоделки около них, кек (?), 23:42 , 04-Дек-25, (2) +9

Я недавно был свидетелем атаки через vim Причем я так понял, девелоперские маши, Аноним (13), 07:18 , 05-Дек-25, (13)

Ссылку, пж Пока нет ссылки - антикриза от джеэсера-нодовика, Жироватт (ok), 08:39 , 05-Дек-25, (15) +2

Ага, ага, ссылку на готовое решение Кто вам такое будет публиковать открыто и б, Аноним (13), 09:01 , 05-Дек-25, (20) +1

Скрыто модератором, Аноним (30), 09:43 , 05-Дек-25, (30) –3
Только в СССР , Аноним (36), 12:12 , 05-Дек-25, (36)
Анон слился, когда начали спрашивать за аргументацию , Bottle (?), 12:14 , 05-Дек-25, (38)

Ну по правде говоря все держится на репутации пакета, в go тоже можно подцепить , MACTEP53 (?), 09:18 , 05-Дек-25, (25)
Не использовать linux, очевидно же, Jeck (?), 10:35 , 05-Дек-25, (32)

Скрыто модератором, Аноним (36), 12:13 , 05-Дек-25, (37)

Не тянуть в систему всякое УГ на электроне , th3m3 (ok), 00:20 , 05-Дек-25, (5) +2
Обычные люди не используют гитхаб, им делать ничего не надо , Аноним (9), 01:59 , 05-Дек-25, (9)

обычные получат этого червя через curl 124 sudo su - как они привыкли Делать и, нах. (?), 09:39 , 05-Дек-25, (29)

Этих не жалко, они сами выбрали свой путь Да пребудет с ними раст , Аноним (9), 11:40 , 05-Дек-25, (34)

Ну вот, а говорили что виндузятники дypаки А оказалось что в дypaках линуксойды , Аноним (-), 00:53 , 05-Дек-25, (6) +4

а я говорил, что популяризация линукс - плохая идея, 12yoexpert (ok), 01:13 , 05-Дек-25, (7) +4

Федорчук ещё на заре века патетически вопрошал Нужны ли Линуксу пользователи Т, Надгробный (?), 09:19 , 05-Дек-25, (26)

Что то надо нести Горит что есть что взять Причины тряски Диодное 3D Phys, Ff (?), 10:16 , 05-Дек-25, (31)

Угу Думаю первые звоночки были уже давно, а ситуация с ХЗ библиотекой была уже н, Аноним (8), 01:24 , 05-Дек-25, (8)
Слишком толсто, попробуй тоньше, что ли , Жироватт (ok), 08:42 , 05-Дек-25, (17) +1
не, ну чо ты так может они не все такие И большинство запускали этот червяк , нах. (?), 09:33 , 05-Дек-25, (27)
неудивительно что далее Итого в сухом остатке получается что ломанули непропорци, Аноним (35), 11:58 , 05-Дек-25, (35)

Всё это сулит блестящее будущее публичным репо , Аноним (14), 07:22 , 05-Дек-25, (14)

Скорее не самим публичным репам, а процессу их создания и верификации их содержи, Жироватт (ok), 08:43 , 05-Дек-25, (18)

надо срочно внедрить шестифакторную идентификацию С отпечатками всех пальцев и , нах. (?), 09:34 , 05-Дек-25, (28) +1
Гы А чего ещё можно было ожидать от технологии, где для посчитать два плюс д, YetAnotherOnanym (ok), 11:39 , 05-Дек-25, (33) –1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Дек-25, 23:40 –2 +/–

А можно вкратце, обычному юзеру надо что-то делать?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #5, #9

2. Сообщение от кек (?), 04-Дек-25, 23:42 +9 +/–

не использовать javascript, typescript и все прочие недоделки около них

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13, #25, #32

5. Сообщение от th3m3 (ok), 05-Дек-25, 00:20 +2 +/–

Не тянуть в систему всякое УГ на электроне.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (-), 05-Дек-25, 00:53 +4 +/–

> На 87% систем использовался Linux, 12% - macOS и 1% - Windows.
Ну вот, а говорили что виндузятники дypаки.
А оказалось что в дypaках линуксойды.
> "node setup_bun.js"
Ага! Вот он и попался!
Не зря их выкупили, они прям все данные хотят соскрапить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8, #17, #27, #35

7. Сообщение от 12yoexpert (ok), 05-Дек-25, 01:13 +4 +/–

а я говорил, что популяризация линукс - плохая идея

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #26

8. Сообщение от Аноним (8), 05-Дек-25, 01:24 +/–

Угу.
Думаю первые звоночки были уже давно, а ситуация с ХЗ библиотекой была уже набатом.
Просто наивные инфантильные аутисты привыкли верить кому попало.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 05-Дек-25, 01:59 +/–

> В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными
Обычные люди не используют гитхаб, им делать ничего не надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

13. Сообщение от Аноним (13), 05-Дек-25, 07:18 +/–

Я недавно был свидетелем атаки через vim. Причем я так понял, девелоперские машины с помощью дыр в нем, давно уже успешно ломают.
К моему разочарованию, у vim даже не проводилось какого-либо серьезного аудита безопасности. При этом его обычно запускают в девелоперской системе с полным доступом и контролем кода. Имея возможность через бэкдор запускать вредоносный сценарий, код помимо прочего читает файл known_hosts и пытается соединиться с серверами по SSH, в надежде на отсутствие passphrase. А у большинства разработчиков на деле, редко в дополнение к ключам используется пароль.
Так что любой рабочий код и даже среда разработки, могут иметь вредоносный код.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #15

14. Сообщение от Аноним (14), 05-Дек-25, 07:22 +/–

Всё это сулит "блестящее" будущее публичным репо.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

15. Сообщение от Жироватт (ok), 05-Дек-25, 08:39 +2 +/–

Ссылку, пж.
Пока нет ссылки - антикриза от джеэсера-нодовика

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20

17. Сообщение от Жироватт (ok), 05-Дек-25, 08:42 +1 +/–

> 100% опрошенных в интернет опросе пользуются интренетом
Слишком толсто, попробуй тоньше, что ли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Жироватт (ok), 05-Дек-25, 08:43 +/–

Скорее не самим публичным репам, а процессу их создания и верификации их содержимого.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (13), 05-Дек-25, 09:01 +1 +/–

Ага, ага, ссылку на готовое решение. Кто вам такое будет публиковать открыто и бесплатно? Вы вообще хоть что-то понимаете в информационной безопасности или хотя бы образование?
Кто занимается информационной безопасностью, прекрасно знают где изучать этот вопрос. Поверьте, это никого из специалистов, непосредственно связанных с этой проблемой не удивляет, поскольку в последний год весь девелоперский софт уже давно стал целью для проведения атак, т.к. это целевой гейт для вторжения в более защищенные узлы системы. Это было и раньше, но в этом году прям пик.
Для повышения образованности, советую поездить в командировки по хакатонам (знаю, дорого :( ). Тогда для вас откровется печальная картина безопасности современного софта.
P.S. В Сбере особо остро знают эту проблему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #30, #36, #38

25. Сообщение от MACTEP53 (?), 05-Дек-25, 09:18 +/–

Ну по правде говоря все держится на репутации пакета, в go тоже можно подцепить репозиторий для работы с датами, который в назначенное время откроет порт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

26. Сообщение от Надгробный (?), 05-Дек-25, 09:19 +/–

Федорчук ещё на заре века патетически вопрошал: Нужны ли Линуксу пользователи!?
Таки я согласен с тем, что не нужны. Ну вас на. И вы это уже пару с плюсом десятилетий успешно доказываете. Я доволен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #31

27. Сообщение от нах. (?), 05-Дек-25, 09:33 +/–

не, ну чо ты так... может они не все такие. И большинство запускали этот червяк в wsl.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

28. Сообщение от нах. (?), 05-Дек-25, 09:34 +1 +/–

надо срочно внедрить шестифакторную идентификацию! С отпечатками всех пальцев и сдачей анализа мочи!
(так - точно победим!)

Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от нах. (?), 05-Дек-25, 09:39 +/–

обычные получат этого червя через curl|sudo su - как они привыкли. Делать им, действительно, ничего не надо.
Да они и не хотят.
К тому же trufflehog на их системе ничего полезного со своей точки зрения не найдет, заплачет и самоудалится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #34

30. Сообщение от Аноним (30), 05-Дек-25, 09:43 Скрыто ботом-модератором –3 +/–

Как обычно, беспруфный эксперт газифицировал лужу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

31. Сообщение от Ff (?), 05-Дек-25, 10:16 +/–

Что то надо нести ? Горит что есть что взять ? Причины тряски ? Диодное 3D? Physics ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от Jeck (?), 05-Дек-25, 10:35 +/–

Не использовать linux, очевидно же

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #37

33. Сообщение от YetAnotherOnanym (ok), 05-Дек-25, 11:39 –1 +/–

Гы... А чего ещё можно было ожидать от технологии, где для "посчитать два плюс два" требуется отдельный пакет из публичной помойки?

Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (9), 05-Дек-25, 11:40 +/–

> curl|sudo su - как они привыкли
Этих не жалко, они сами выбрали свой путь. Да пребудет с ними раст.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

35. Сообщение от Аноним (35), 05-Дек-25, 11:58 +/–

> 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - > GitLab CI, 3% - AWS CodeBuild)
неудивительно что
> На 87% систем использовался Linux
далее:
> 12% - macOS и 1% - Windows.
Итого в сухом остатке получается что ломанули непропорционально много маководов (чуть больше половины всех взломаных персональных аккаунтов)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

36. Сообщение от Аноним (36), 05-Дек-25, 12:12 +/–

> Тогда для вас откровется печальная картина безопасности современного софта.
Только в СССР?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

37. Сообщение от Аноним (36), 05-Дек-25, 12:13 Скрыто ботом-модератором +/–

А что использовать, Гугло?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

38. Сообщение от Bottle (?), 05-Дек-25, 12:14 +/–

Анон слился, когда начали спрашивать за аргументацию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 04-Дек-25, 23:40	–2 +/–
А можно вкратце, обычному юзеру надо что-то делать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #5, #9

2. Сообщение от кек (?), 04-Дек-25, 23:42	+9 +/–
не использовать javascript, typescript и все прочие недоделки около них
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #13, #25, #32

5. Сообщение от th3m3 (ok), 05-Дек-25, 00:20	+2 +/–
Не тянуть в систему всякое УГ на электроне.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (-), 05-Дек-25, 00:53	+4 +/–
> На 87% систем использовался Linux, 12% - macOS и 1% - Windows. Ну вот, а говорили что виндузятники дypаки. А оказалось что в дypaках линуксойды. > "node setup_bun.js" Ага! Вот он и попался! Не зря их выкупили, они прям все данные хотят соскрапить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #8, #17, #27, #35

7. Сообщение от 12yoexpert (ok), 05-Дек-25, 01:13	+4 +/–
а я говорил, что популяризация линукс - плохая идея
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #26

8. Сообщение от Аноним (8), 05-Дек-25, 01:24	+/–
Угу. Думаю первые звоночки были уже давно, а ситуация с ХЗ библиотекой была уже набатом. Просто наивные инфантильные аутисты привыкли верить кому попало.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 05-Дек-25, 01:59	+/–
> В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными Обычные люди не используют гитхаб, им делать ничего не надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #29

13. Сообщение от Аноним (13), 05-Дек-25, 07:18	+/–
Я недавно был свидетелем атаки через vim. Причем я так понял, девелоперские машины с помощью дыр в нем, давно уже успешно ломают. К моему разочарованию, у vim даже не проводилось какого-либо серьезного аудита безопасности. При этом его обычно запускают в девелоперской системе с полным доступом и контролем кода. Имея возможность через бэкдор запускать вредоносный сценарий, код помимо прочего читает файл known_hosts и пытается соединиться с серверами по SSH, в надежде на отсутствие passphrase. А у большинства разработчиков на деле, редко в дополнение к ключам используется пароль. Так что любой рабочий код и даже среда разработки, могут иметь вредоносный код.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #15

14. Сообщение от Аноним (14), 05-Дек-25, 07:22	+/–
Всё это сулит "блестящее" будущее публичным репо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18

15. Сообщение от Жироватт (ok), 05-Дек-25, 08:39	+2 +/–
Ссылку, пж. Пока нет ссылки - антикриза от джеэсера-нодовика
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #20

17. Сообщение от Жироватт (ok), 05-Дек-25, 08:42	+1 +/–
> 100% опрошенных в интернет опросе пользуются интренетом Слишком толсто, попробуй тоньше, что ли?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

18. Сообщение от Жироватт (ok), 05-Дек-25, 08:43	+/–
Скорее не самим публичным репам, а процессу их создания и верификации их содержимого.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (13), 05-Дек-25, 09:01	+1 +/–
Ага, ага, ссылку на готовое решение. Кто вам такое будет публиковать открыто и бесплатно? Вы вообще хоть что-то понимаете в информационной безопасности или хотя бы образование? Кто занимается информационной безопасностью, прекрасно знают где изучать этот вопрос. Поверьте, это никого из специалистов, непосредственно связанных с этой проблемой не удивляет, поскольку в последний год весь девелоперский софт уже давно стал целью для проведения атак, т.к. это целевой гейт для вторжения в более защищенные узлы системы. Это было и раньше, но в этом году прям пик. Для повышения образованности, советую поездить в командировки по хакатонам (знаю, дорого :( ). Тогда для вас откровется печальная картина безопасности современного софта. P.S. В Сбере особо остро знают эту проблему.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #30, #36, #38

25. Сообщение от MACTEP53 (?), 05-Дек-25, 09:18	+/–
Ну по правде говоря все держится на репутации пакета, в go тоже можно подцепить репозиторий для работы с датами, который в назначенное время откроет порт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

26. Сообщение от Надгробный (?), 05-Дек-25, 09:19	+/–
Федорчук ещё на заре века патетически вопрошал: Нужны ли Линуксу пользователи!? Таки я согласен с тем, что не нужны. Ну вас на. И вы это уже пару с плюсом десятилетий успешно доказываете. Я доволен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #31

27. Сообщение от нах. (?), 05-Дек-25, 09:33	+/–
не, ну чо ты так... может они не все такие. И большинство запускали этот червяк в wsl.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

28. Сообщение от нах. (?), 05-Дек-25, 09:34	+1 +/–
надо срочно внедрить шестифакторную идентификацию! С отпечатками всех пальцев и сдачей анализа мочи! (так - точно победим!)
Ответить \| Правка \| Наверх \| Cообщить модератору

29. Сообщение от нах. (?), 05-Дек-25, 09:39	+/–
обычные получат этого червя через curl\|sudo su - как они привыкли. Делать им, действительно, ничего не надо. Да они и не хотят. К тому же trufflehog на их системе ничего полезного со своей точки зрения не найдет, заплачет и самоудалится.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #34

30. Сообщение от Аноним (30), 05-Дек-25, 09:43 Скрыто ботом-модератором	–3 +/–
Как обычно, беспруфный эксперт газифицировал лужу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

31. Сообщение от Ff (?), 05-Дек-25, 10:16	+/–
Что то надо нести ? Горит что есть что взять ? Причины тряски ? Диодное 3D? Physics ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

32. Сообщение от Jeck (?), 05-Дек-25, 10:35	+/–
Не использовать linux, очевидно же
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #37

33. Сообщение от YetAnotherOnanym (ok), 05-Дек-25, 11:39	–1 +/–
Гы... А чего ещё можно было ожидать от технологии, где для "посчитать два плюс два" требуется отдельный пакет из публичной помойки?
Ответить \| Правка \| Наверх \| Cообщить модератору

34. Сообщение от Аноним (9), 05-Дек-25, 11:40	+/–
> curl\|sudo su - как они привыкли Этих не жалко, они сами выбрали свой путь. Да пребудет с ними раст.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

35. Сообщение от Аноним (35), 05-Дек-25, 11:58	+/–
> 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - > GitLab CI, 3% - AWS CodeBuild) неудивительно что > На 87% систем использовался Linux далее: > 12% - macOS и 1% - Windows. Итого в сухом остатке получается что ломанули непропорционально много маководов (чуть больше половины всех взломаных персональных аккаунтов)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

36. Сообщение от Аноним (36), 05-Дек-25, 12:12	+/–
> Тогда для вас откровется печальная картина безопасности современного софта. Только в СССР?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

37. Сообщение от Аноним (36), 05-Дек-25, 12:13 Скрыто ботом-модератором	+/–
А что использовать, Гугло?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32

38. Сообщение от Bottle (?), 05-Дек-25, 12:14	+/–
Анон слился, когда начали спрашивать за аргументацию.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20