Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"	+/–
Сообщение от opennews (ok), 12-Май-26, 23:29
В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65432
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Rev (ok), 12-Май-26, 23:29	+18 +/–
Какая замечательная и безопасная экосистема у JS-ников!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11, #18, #26

2. Сообщение от Аноним (2), 12-Май-26, 23:29	+3 +/–
Это божественно!
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (45), 12-Май-26, 23:37	+/–
Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #8, #12

4. Сообщение от S404 (?), 12-Май-26, 23:41	+/–
100% виноват Micro$oft, они ведь владеют npm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 12-Май-26, 23:42	+/–
Что делать ? Общий сбор!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #32

6. Сообщение от S404 (?), 12-Май-26, 23:44	+3 +/–
Действовать наперёд, сразу удалить французкий "rm -fr ~/"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от anonymous (??), 12-Май-26, 23:46	–2 +/–
у каждого разработчика должна быть настроена firejail.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23, #56

8. Сообщение от Аноним83 (?), 13-Май-26, 00:06	–2 +/–
Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли. Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06	+/–
Плата за использование бесплатных публичных сервисов. Жаловаться в таких случаях пострадавшие могут только на себя. Без злорадства всякого пишу, но и без сожаления.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #16, #21

11. Сообщение от Джон Титор (ok), 13-Май-26, 00:39	+/–
Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Джон Титор (ok), 13-Май-26, 00:41	–3 +/–
Я использовал TanStack
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от Джон Титор (ok), 13-Май-26, 00:53	+/–
> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem. Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (-), 13-Май-26, 01:08	+7 +/–
> Без злорадства всякого пишу тут так не принято
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от Джон Титор (ok), 13-Май-26, 01:22	+1 +/–
Если они начнут брать плату за открытый код, то люди просто уйдут и массово. Они то конечно это будут делать потихоньку и тем не менее кого-то потеряют. Кстати а как там с артефактами у gitflic? Есть аналог npm?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

18. Сообщение от kai3341 (ok), 13-Май-26, 01:27	–2 +/–
> Какая замечательная и безопасная экосистема у JS-ников! Иногда лучше жевать, чем говорить. Атака стара как мир. Принципиально уязвимы __все__ пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем более не под все ОС
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28, #60

21. Сообщение от 12yoexpert (ok), 13-Май-26, 03:59	+/–
согласен, давай будем платить михалкову, а скачивать через госуслуги можно ещё эплу с гуглом заставить платить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #31

23. Сообщение от Аноним (23), 13-Май-26, 04:50	–1 +/–
VScode и Dev контейнеры. Стандарт индустрии, по факту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #27, #34

25. Сообщение от Аноним (25), 13-Май-26, 06:55	+/–
Ща ии все найдет и исправит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

26. Сообщение от OpenBotNET (ok), 13-Май-26, 07:12	+2 +/–
Это "безпасность" GitHub. Micro$oft срала на безопасность своих пользователей еще начиная с MS DOS. То есть всегда!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

27. Сообщение от Аноним (27), 13-Май-26, 07:42	+1 +/–
> 2026 > считать мелкософтовские поделки за стандарт > пакетик
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

28. Сообщение от Аноним (27), 13-Май-26, 07:44	–4 +/–
ой ой, уязвимы все, но почему-то только у жсников проблемы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #45

30. Сообщение от Tron is Whistling (?), 13-Май-26, 08:36	+/–
Ну и отлично.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от НектоОткудаТо (?), 13-Май-26, 09:00	+/–
А ещё в огороде бузина растёт, знаете ли)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

32. Сообщение от Аноним (32), 13-Май-26, 09:06	+/–
Отвязанный от $язычка менеджер пакетов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

33. Сообщение от Аноним (33), 13-Май-26, 09:12	–1 +/–
А на название-то стека обратите внимание TanStack ;) Совпалает с фамилией одного известного персонажа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

34. Сообщение от Сладкая булочка (?), 13-Май-26, 09:37	+/–
> VScode и Dev контейнеры. Стандарт индустрии, по факту. Индустрия с тобой сейчас в одной комнате?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #46

35. Сообщение от Сладкая булочка (?), 13-Май-26, 09:38	–1 +/–
В npm без перемен.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Tron is Whistling (?), 13-Май-26, 09:46	+/–
~/ - это ещё по-божески, пожалели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

37. Сообщение от FSA (ok), 13-Май-26, 09:57	+/–
Сколько нытья в комментариях. Лучше скажите какие пакеты пострадали.
Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 13-Май-26, 10:02	+1 +/–
> замечены через 20 минут и блокированы спустя полтора часа Оперативно сработали. Считаю хороший результат.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 13-Май-26, 10:08	–1 +/–
> в случае отзыва токена выполнял команду "rm -rf ~/". Что-то прямо некрасиво как-то.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

42. Сообщение от Джон Титор (ok), 13-Май-26, 10:44	+/–
> А на название-то стека обратите внимание TanStack ;) Совпалает с фамилией одного > известного персонажа. Это обычный фреймворк. У него есть аналоги, но этот весьма популярен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

44. Сообщение от Аноним (44), 13-Май-26, 11:10	+/–
В NPM внедрили вредноносный код > замечены через 20 минут и блокированы спустя полтора часа В ядро линукс внедрили бекдор: > Copy Fail > 2017 году при внесении оптимизации > Dirty Frag > проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #49

45. Сообщение от Аноним (45), 13-Май-26, 11:17	+1 +/–
>ой ой, уязвимы все, но почему-то только у жсников проблемы Может быть это связано не с js, а например, с размером и числом юзеров сервиса? Да не, не может такого быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #50

46. Сообщение от Аноним (46), 13-Май-26, 11:18	+1 +/–
Да, в одной. Нитакусики с vim и emacs не в счёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

47. Сообщение от Аноним (46), 13-Май-26, 11:22	+/–
Всё так. А потом ещё сопротивляются внедрению ИИ для анализа кода ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от Аноним (48), 13-Май-26, 11:34	+/–
Если кто-то не обучаем и не может сесть и почитать пару статей, где будет сказано как делать нужно и как не нужно, то пусть дрессируется на своём собственном опыте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

49. Сообщение от Аноним (49), 13-Май-26, 11:38	+/–
>В NPM внедрили вредноносный код >В ядро линукс внедрили бекдор Ну ты и сравнил! Проектик TanStack на JS и ядро на 40+ млн. строк на С. >Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!" И правильно делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #51

50. Сообщение от Аноним (50), 13-Май-26, 11:39	+/–
> Может быть это связано не с js, а например, с размером и числом юзеров сервиса? Да не, не может такого быть. С одной стороны да. С другой - даже в ненужной недоОСь типа BSD нашли отличный бекдорчик живущий с 2013 года. Но тут порадовала оперативность нахождения и устранения. Это тебе не ХЗ библиотека, которую обнаружили спустя месяц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

51. Сообщение от Аноним (50), 13-Май-26, 11:41	+/–
> Ну ты и сравнил! Проектик TanStack на JS и ядро на 40+ млн. строк на С. В ведре сколько тысяч разработчиков и коммитеров? Куда смотрели эти тысячи глаз на протяжении кучи лет? Сколько миллионов строк кода это автогенерированные дрова? >>Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!" > И правильно делают. Конечно! Им надо сохранять репутацию uдuйотов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #52

52. Сообщение от Аноним (49), 13-Май-26, 11:49	+/–
>В ведре сколько тысяч разработчиков и коммитеров? Не зависимо от количества конструкторов и сборщиков, сравнивать Боинг-747 с дельтапланом абсолютно не корректно. >Конечно! >Им надо сохранять репутацию uдuйотов. Согласен. Ты своим примером полностью это доказал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #53, #57

53. Сообщение от Аноним (53), 13-Май-26, 12:29	+/–
> Не зависимо от количества конструкторов и сборщиков, сравнивать Боинг-747 с дельтапланом абсолютно не корректно. Конечно. Надежность боинга должна быть на несколько порядков выше, чем конструкция дельтаплана. Но открывая хотя бы lore.kernel.org/linux-cve-announce/ видно что это далеко не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

54. Сообщение от Сладкая булочка (?), 13-Май-26, 12:36	+/–
Самое ценное в современных системах у пользователей в хомяке. Сиситемные файлы восстановить можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

55. Сообщение от Аноним (2), 13-Май-26, 12:40	+/–
Удалит вместе со всеми базами и бэкапами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

56. Сообщение от Аноним (-), 13-Май-26, 12:45	+/–
У каждого разработчика должна быть голова на плечах. ... И QubesOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

57. Сообщение от Аноним (2), 13-Май-26, 12:52	+/–
> сравнивать Боинг-747 с дельтапланом абсолютно не корректно Естественно, не корректно. Боинг завалил куда больше народу, чем дельтапланы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #58

58. Сообщение от Аноним (58), 13-Май-26, 13:16	+/–
>> сравнивать Боинг-747 с дельтапланом абсолютно не корректно > Естественно, не корректно. Боинг завалил куда больше народу, чем дельтапланы. Ага, а 100% людей пивших воду - умерли (с) А теперь посчитай на часы полета и выяснится, что шансов помереть в автомобиле или ОТ гораздо больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

60. Сообщение от Сладкая булочка (?), 13-Май-26, 14:00	+/–
>> Какая замечательная и безопасная экосистема у JS-ников! > Принципиально уязвимы __все__ > пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, > что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это > жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем > более не под все ОС Никто тебе не мешает собирать в изолированном окружении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

61. Сообщение от Аноним (61), 13-Май-26, 14:28	+/–
Всё это издержки автоматизации. Ленивое сопровождение NPM.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема