forum.opennet.ru - "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю" (27)

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"	+/–
Сообщение от opennews (??), 31-Мрт-26, 22:44
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов - с 03:21 по 6:15 (MSK)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65109
Ответить \| Правка \| Cообщить модератору

Оглавление

Во черт Надеюсь я npm install позже писал , Аноним (2), 22:44 , 31-Мрт-26, (2)
Хорошая новость Нужно больше лефтпадов в крейтах , Tron is Whistling (?), 22:44 , 31-Мрт-26, (3) +5
Кучно пошли, к дождю , Аноним (7), 23:14 , 31-Мрт-26, (7) +2
Миллионы глаз на изи нашли Что происходит в менеджерах где 10 калек на в расте , Анрним (?), 23:25 , 31-Мрт-26, (9) +1
Да известно как это делается Либо через почту, либо через GitHub Actions , Аноним (10), 23:44 , 31-Мрт-26, (10)

Неужели не из-за ошибок памяти си , Аноним (13), 00:32 , 01-Апр-26, (13) +2

Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошар, Аноним (2), 03:44 , 01-Апр-26, (21)

axios уже давно не нужен, есть нативный fetch Внимание Если вам кажется, что, q (ok), 00:11 , 01-Апр-26, (12) +2

А вот и целевая аудитория таких взломов Рассуждает о абсолютно неважных вещах, , Аноним (14), 00:33 , 01-Апр-26, (14) –5

Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумыва, q (ok), 02:08 , 01-Апр-26, (17) +1

Да, минусы есть Но зато шустренько код пишеться, как будто не программируешь, а, Аноним (2), 03:49 , 01-Апр-26, (23)

ога, по клаве бьешь do this ticket don t make any mistakesи потом просишь закомм, Аноним (29), 07:20 , 01-Апр-26, (29)

а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообно, анон (?), 10:47 , 01-Апр-26, (36)

Unix принципы В JS и фронте Чего , Аноним (28), 07:20 , 01-Апр-26, (28) +1

Как хорошо что я всю эту js бяку запускаю в докере , Аноним (15), 01:24 , 01-Апр-26, (15)

Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего, Аноним (16), 01:41 , 01-Апр-26, (16) +1

раз в неделю одно и тоже что питон, что жс, что раст, 12yoexpert (ok), 02:16 , 01-Апр-26, (18)

Мда, на бреинфаке нет, переходи на него А хотя, стой ты же с си Э-э-э Нич, Аноним (2), 04:47 , 01-Апр-26, (25)
Мимо В случаях с crates io был только тайпсквоттинг , Аноним (-), 04:54 , 01-Апр-26, (26) –1

Расслабься, сегодня ему попался матерый буфер, считать пришлось на калькуляторе , Аноним (2), 04:58 , 01-Апр-26, (27) –1

какие же любители раста токсичные , Аноним (30), 08:36 , 01-Апр-26, (30)

Токсичность неразрывно связана с маскулинностью , eugener (ok), 09:16 , 01-Апр-26, (31) –1

с боярой она связана, 12yoexpert (ok), 09:27 , 01-Апр-26, (33) +1

говори себе это почаще, 12yoexpert (ok), 09:27 , 01-Апр-26, (32)
Принцип существования такой-же как и у NPM Расскажи мне почему у вас должно быт, Аноним (14), 10:11 , 01-Апр-26, (34)

патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пя, пох. (?), 10:22 , 01-Апр-26, (35)

Зато на Си каждый день по эксплойту, вот к чему надо стремиться , Аноним (37), 10:47 , 01-Апр-26, (37)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 31-Мрт-26, 22:44 +/–

Во черт! Надеюсь я npm install позже писал.

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44 +5 +/–

Хорошая новость.
Нужно больше лефтпадов в крейтах.

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 31-Мрт-26, 23:14 +2 +/–

Кучно пошли, к дождю...

Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Анрним (?), 31-Мрт-26, 23:25 +1 +/–

Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 31-Мрт-26, 23:44 +/–

> Как именно был перехвачен токен доступа не уточняется.
Да известно как это делается. Либо через почту, либо через GitHub Actions.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

12. Сообщение от q (ok), 01-Апр-26, 00:11 +2 +/–

axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #28

13. Сообщение от Аноним (13), 01-Апр-26, 00:32 +2 +/–

Неужели не из-за ошибок памяти си?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21

14. Сообщение от Аноним (14), 01-Апр-26, 00:33 –5 +/–

А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 01-Апр-26, 01:24 +/–

Как хорошо что я всю эту js бяку запускаю в докере)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (16), 01-Апр-26, 01:41 +1 +/–

Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от q (ok), 01-Апр-26, 02:08 +1 +/–

Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #23, #36

18. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16 +/–

раз в неделю одно и тоже: что питон, что жс, что раст

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #26, #37

21. Сообщение от Аноним (2), 01-Апр-26, 03:44 +/–

Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

23. Сообщение от Аноним (2), 01-Апр-26, 03:49 +/–

Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

25. Сообщение от Аноним (2), 01-Апр-26, 04:47 +/–

Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (-), 01-Апр-26, 04:54 –1 +/–

> что раст
Мимо. В случаях с crates.io был только тайпсквоттинг.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27, #32, #34

27. Сообщение от Аноним (2), 01-Апр-26, 04:58 –1 +/–

>> что раст
> Мимо. В случаях с crates.io был только тайпсквоттинг.
Расслабься, сегодня ему попался матерый буфер, считать пришлось на калькуляторе. Так что он не в духе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #30

28. Сообщение от Аноним (28), 01-Апр-26, 07:20 +1 +/–

Unix принципы? В JS и фронте?? Чего?))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

29. Сообщение от Аноним (29), 01-Апр-26, 07:20 +/–

ога, по клаве бьешь do this ticket don't make any mistakes
и потом просишь закомммтить и задеплоитьб

и все это даже не приходя в сознание

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от Аноним (30), 01-Апр-26, 08:36 +/–

какие же любители раста токсичные

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #31

31. Сообщение от eugener (ok), 01-Апр-26, 09:16 –1 +/–

Токсичность неразрывно связана с маскулинностью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #33

32. Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27 +/–

говори себе это почаще

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27 +1 +/–

с боярой она связана

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (14), 01-Апр-26, 10:11 +/–

Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #35

35. Сообщение от пох. (?), 01-Апр-26, 10:22 +/–

патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает.
Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от анон (?), 01-Апр-26, 10:47 +/–

>те, кто ставят все пакеты подряд
а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

37. Сообщение от Аноним (37), 01-Апр-26, 10:47 +/–

Зато на Си каждый день по эксплойту, вот к чему надо стремиться!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 31-Мрт-26, 22:44	+/–
Во черт! Надеюсь я npm install позже писал.
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44	+5 +/–
Хорошая новость. Нужно больше лефтпадов в крейтах.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Аноним (7), 31-Мрт-26, 23:14	+2 +/–
Кучно пошли, к дождю...
Ответить \| Правка \| Наверх \| Cообщить модератору

9. Сообщение от Анрним (?), 31-Мрт-26, 23:25	+1 +/–
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. Сообщение от Аноним (10), 31-Мрт-26, 23:44	+/–
> Как именно был перехвачен токен доступа не уточняется. Да известно как это делается. Либо через почту, либо через GitHub Actions.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

12. Сообщение от q (ok), 01-Апр-26, 00:11	+2 +/–
axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #28

13. Сообщение от Аноним (13), 01-Апр-26, 00:32	+2 +/–
Неужели не из-за ошибок памяти си?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #21

14. Сообщение от Аноним (14), 01-Апр-26, 00:33	–5 +/–
А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 01-Апр-26, 01:24	+/–
Как хорошо что я всю эту js бяку запускаю в докере)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (16), 01-Апр-26, 01:41	+1 +/–
Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

17. Сообщение от q (ok), 01-Апр-26, 02:08	+1 +/–
Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #23, #36

18. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16	+/–
раз в неделю одно и тоже: что питон, что жс, что раст
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25, #26, #37

21. Сообщение от Аноним (2), 01-Апр-26, 03:44	+/–
Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

23. Сообщение от Аноним (2), 01-Апр-26, 03:49	+/–
Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #29

25. Сообщение от Аноним (2), 01-Апр-26, 04:47	+/–
Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (-), 01-Апр-26, 04:54	–1 +/–
> что раст Мимо. В случаях с crates.io был только тайпсквоттинг.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #27, #32, #34

27. Сообщение от Аноним (2), 01-Апр-26, 04:58	–1 +/–
>> что раст > Мимо. В случаях с crates.io был только тайпсквоттинг. Расслабься, сегодня ему попался матерый буфер, считать пришлось на калькуляторе. Так что он не в духе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #30

28. Сообщение от Аноним (28), 01-Апр-26, 07:20	+1 +/–
Unix принципы? В JS и фронте?? Чего?))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

29. Сообщение от Аноним (29), 01-Апр-26, 07:20	+/–
ога, по клаве бьешь do this ticket don't make any mistakes и потом просишь закомммтить и задеплоитьб и все это даже не приходя в сознание
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23

30. Сообщение от Аноним (30), 01-Апр-26, 08:36	+/–
какие же любители раста токсичные
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #31

31. Сообщение от eugener (ok), 01-Апр-26, 09:16	–1 +/–
Токсичность неразрывно связана с маскулинностью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #33

32. Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27	+/–
говори себе это почаще
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

33. Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27	+1 +/–
с боярой она связана
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (14), 01-Апр-26, 10:11	+/–
Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #35

35. Сообщение от пох. (?), 01-Апр-26, 10:22	+/–
патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает. Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34

36. Сообщение от анон (?), 01-Апр-26, 10:47	+/–
>те, кто ставят все пакеты подряд а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

37. Сообщение от Аноним (37), 01-Апр-26, 10:47	+/–
Зато на Си каждый день по эксплойту, вот к чему надо стремиться!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18