| 1.1, Аноним (1), 08:58, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +23 +/– |
Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.
| | |
| |
| 2.4, Аноним (4), 09:06, 09/09/2025 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.
| | |
| |
| 3.9, Аноним (9), 09:20, 09/09/2025 [^] [^^] [^^^] [ответить]
| +9 +/– |
Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.
| | |
| |
| 4.46, Аноним (46), 13:01, 09/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Профессионалам-то точно можно верить.
Как экспертам в студии (на опеннете) :)
| | |
|
|
| 2.70, pic (??), 16:55, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну чё ты такой простой, установи Касперский :) и будет тебе эвристический анализ
| | |
| |
| 3.82, пох. (?), 18:50, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
теперь мой пароль знает еще и касперский... а, впрочем... он его наверное и так знает
| | |
|
|
| |
| 2.64, Аноним (64), 16:03, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Эта новость для того, чтобы люди перепроверили, нет ли у них скомпрометированной версии пакета. Ожидаемо или неожиданно, но предупреждение нужное.
| | |
|
| 1.5, Tron is Whistling (?), 09:10, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.
| | |
| |
| 2.7, Аноним (7), 09:12, 09/09/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?
| | |
| |
| |
| |
| |
| |
| 7.47, Аноним (46), 13:03, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Черного кота в черной комнате найти можно, достаточно сказать "кыссс-кыссс" :)
| | |
|
|
|
| 4.24, Аноним (7), 11:06, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И да это совсем другое.
И в чем отличия?
Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
| | |
| |
| 5.33, AleksK (ok), 12:06, 09/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > И в чем отличия?
Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
NPM принадлежит Microsoft. Это другое?
| | |
| |
| 6.39, Аноним (-), 12:14, 09/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Сколько у них юзеров?
А сколько юзеров у нпм, гитхаба или гитлаба.
Будет ли об этом писать зарубежные ресурсы (спойлер: нет).
Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию?
Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
libux kernel был взломан 2 года.
| | |
| |
| 7.42, AleksK (ok), 12:34, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
> libux kernel был взломан 2 года.
Кто? Что за libux kernel?
| | |
|
| 6.51, Аноним (7), 13:05, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
Так я ни разу не видел новости, чтобы взломали репы Debian или Ubuntu. Но ты почему-то решил приплести сюда эту НЁХ.
>> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
> NPM принадлежит Microsoft. Это другое?
Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?
| | |
| |
| 7.54, AleksK (ok), 13:35, 09/09/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Но ты почему-то решил приплести сюда эту НЁХ.
Ясно-понятно, в голове твоей опилки..
> Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?
Я ответил на вопрос откуда я ставлю пакеты. В каком месте ты увидел рекламу? Хотя когда у тебя в голове опилки разное чудится
| | |
| |
| 8.59, Аноним (59), 14:19, 09/09/2025 [^] [^^] [^^^] [ответить] | +/– | Во-первых, вопрос откуда от того анонима был риторическим и так понятно, что ... текст свёрнут, показать | | |
| 8.60, Аноним (7), 14:30, 09/09/2025 [^] [^^] [^^^] [ответить] | +/– | В том-то и дело, доужок, что я тебя лично ни о чем не спрашивал вопрос был друг... текст свёрнут, показать | | |
|
|
|
|
|
| 3.18, User (??), 10:25, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.
| | |
|
| 2.83, пох. (?), 18:51, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Очень надеюсь, что это попало в махровый энтерпрайз.
сссссс..
| | |
|
| 1.6, Аноним (7), 09:11, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы.
При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
| | |
| |
| 2.10, Аноним (10), 09:23, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.
| | |
| |
| 3.43, Аноним (43), 12:52, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
За нас у же все подумали - за целых два дня прислали.
Осталось только ввести логин и пароль.
| | |
|
| 2.65, Кошкажена (?), 16:04, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
А что ты хотел от людей, которые только и делают, что обновляют зависимости. У таких 1 день - это уже устарело.
| | |
| |
| 3.84, пох. (?), 18:52, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Не, ну я бы тоже насторожился - чего вдруг за аж два дня? Вот если б за два часа, но пятнадцать штук с интервалом две минуты и каждый раз новым линком а старый уже не работает - было бы в духе.
| | |
|
|
| 1.13, Анонимный эксперт (?), 09:54, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется.
Но делать они этого конечно не будут.
| | |
| |
| 2.20, Аноним (20), 10:33, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну и платить
энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время?
| | |
| 2.32, Аноним (32), 12:04, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Энтерпрайзу давно пора
Если ты такой умный, то почему ты не энтерпрайз?
| | |
| 2.58, Tron is Whistling (?), 13:56, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено...
Как положено, в общем...
| | |
|
| 1.14, Аноним (-), 09:58, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
> Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.
И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.
Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.
| | |
| |
| 2.16, User (??), 10:23, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть!
Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?
| | |
| 2.17, Аноним (7), 10:24, 09/09/2025 [^] [^^] [^^^] [ответить] | +/– | Так они и независимы Видишь ли, двуфакторка сделана в первую очередь для защиты... большой текст свёрнут, показать | | |
|
| 1.21, Аноним (21), 10:40, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а два миллиарда_загрузок_в_неделю никого не смущают? не подозрительно многовато?
| | |
| |
| 2.44, Аноним (43), 12:56, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Там боты загружают новую версию JS пакета, если видят изменение версии в репозитарии.
При каждом старте.
Ну это такой вид программирования на JS.
| | |
|
| 1.25, Аноним (25), 11:10, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> множества библиотек для консольных приложений.
Консольные приложения на javascript! Дожили.
| | |
| |
| 2.26, Аноним (25), 11:10, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
По сути запускается браузер, чтоб выполнить консольную программу.
| | |
| |
| 3.74, Аноним (74), 17:26, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Для смущения нужно чтобы сознание как-то участвовало в процессе. А он увидел знакомые буквы, и сразу пошла слюна. Всё как у Павлова.
| | |
|
|
| 1.27, Рандом (?), 11:29, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации и вы приехали что ваш номер у которому привязаны акки теперь может быть подвержен тупо быстрому хищению акков , лучше держаться одно паролевой идентификации с на геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания геолокации аноны это всё равно обезличенная масса и зачем им становиться великими они все равно этого бояться им в таком случае и навигатор не нужен.
| | |
| |
| 2.30, Аноним (30), 11:40, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Sms это и не 2fa. На случай утраты доступа есть листок с распечатанными одноразовыми кодами.
| | |
| 2.35, User (??), 12:09, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой
> заблокирует сим сим и выдаст её левому челу уверяя вас что
> никому не выдаст этот номер раз не смог вам перевыпустить этот
> же номер на другой релокации внутри федерации и вы приехали что
> ваш номер у которому привязаны акки теперь может быть подвержен тупо
> быстрому хищению акков , лучше держаться одно паролевой идентификации с на
> геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания
> геолокации аноны это всё равно обезличенная масса и зачем им становиться
> великими они все равно этого бояться им в таком случае и
> навигатор не нужен.
Не, ну использовать в качестве "второго фактора" - _принципиально_ не принадлежащую тебе вещь - _арендуемый_ на мутных условиях телефонный номер само по себе "ну, такоэ" решение.
Но ить - считать, что вот этим вот - ну может еще TOTP концепция 2FA и ограничивается и ограничивается прям вообще волшебно.
| | |
| |
| 3.79, Кексперт (?), 18:40, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
С рождения тебе принадлежит только лицо и голос, так что давайте все недовольные идити куда следует регистрировать биометрию
| | |
|
| 2.50, Аноним (43), 13:05, 09/09/2025 [^] [^^] [^^^] [ответить] | +/– | Напомнило мне мою историю с внезапным выпуском еще одной платежной карты к моему... большой текст свёрнут, показать | | |
|
| 1.28, Аноним (30), 11:30, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>npmjs.help
Если кто-то повёлся, навсегда занести их в чёрный список. Как умственнонеполноценных. А, хотя, подождите, для этого же кок и принимали. Только почему они чем-то там управляют теперь?
| | |
| |
| 2.31, User (??), 12:01, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
victim blaming? Не, не слышал - "с хорошими девочками плохие вещи не случаются!"
| | |
| |
| 3.40, Аноним (30), 12:25, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так это компании, делающие легитимные рассылки с левых доменов. Но только, не заметить, что это левый сайт, в данном случае, просто невозможно. А ведь вроде взрослые околоайтишники.
| | |
| |
| 4.41, Аноним (-), 12:28, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> делающие легитимные рассылки с левых доменов.
Можно написать скрипт, который будет отправлять письма по одному.
А если вообще заблочить левые домены, то начнется воняние васянов с подкроватными мейлсерверами типа "корпы их ущемляют".
| | |
| 4.56, User (??), 13:52, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так
> это компании, делающие легитимные рассылки с левых доменов. Но только, не
> заметить, что это левый сайт, в данном случае, просто невозможно. А
> ведь вроде взрослые околоайтишники.
Да-да, самадуравиновата. И вот велосипедисты, ой, электросамокатчики еще - все зло от них.
| | |
| |
| 5.61, Аноним (30), 15:20, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А кто виноват? И не хочешь ли ты сказать, что всё зло от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий билет -- вполне справедливо.
| | |
| |
| 6.66, User (??), 16:18, 09/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А кто виноват? И не хочешь ли ты сказать, что всё зло
> от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить
> прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не
> денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий
> билет -- вполне справедливо.
Да-да, и вот сишников за выход за пределы буфера всенепременно на мороз - ну детская же ошибка, правда? И вот админов за кривые ACL пороть - всех же учат, ага. И...
"А может просто использовать устойчивые к фишингу варианты аутентификации?
Да не, ерунда какая-то..."
| | |
|
|
|
|
| 2.75, Аноним (74), 17:42, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Может лучше скаммеров сажать и с преступностью бороться? Не, ерунда какая-то, лучше жертв преступления виноватыми сделать. Скаммеров ещё найти надо, а если они отстреливаться начнут? А эти вон — сами пришли, даже искать не надо.
| | |
|
| 1.45, Аноним (45), 12:59, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>is-arrayish
О,новый лефтпад! Что это за нескучный язычок такой, что нужен _внешний_ модуль, чтобы определять тип переменной?
| | |
| |
| |
| 3.86, Аноним (15), 19:22, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
У него же там батарейки в комплекте, а такую фигню не проверяет?
> Ох уж эти иксперты.
иксперты - это видимо те, кто is-arrayish юзает
| | |
|
|
| 1.48, Аноним (48), 13:04, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Странное дело. В силу профессиональной деятельности указанный гражданин не мог не знать об указанном способе фишинга. К тому же большинство почтовых клиентов блокируют такие письма. Так что есть серьёзные основания полагать, что доступ был получен не случайно. Разраба могли попросить вежливые люди или банально подкупить. Ну а доступ им потребовался для совершения какой-то разовой операции. После чего дело обставили как случайный "фишинг". Это примерно как у нас, когда жертва "мошенников" внезапно переводит сотни миллионов рублей на какой-то мутный счёт, хотя в реальности это сделать физически нереально.
| | |
| 1.52, Pahanivo (ok), 13:16, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 CСпрашивается, что вы хотите от пользователей, бабушек и т.д.)))
Тут девелоперы в секурити не волокут от слова совсем.
| | |
| 1.63, Кошкажена (?), 15:56, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Список скомпромитированных пакетов состоит из каких-то велосипедов. Нормальный человек такое напишет у себя за 5 минут без всяких зависимостей. Ох уж это скриптизеры.
| | |
| 1.67, 12yoexpert (ok), 16:33, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 вот поэтому я при получении таких писем иду в браузер и захожу на сайт руками. ну и не пишу на джаве
| | |
| |
| 2.80, пох. (?), 18:48, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
дык, а толку-то...
когда половина инструкций начинается с "установите npm".... ну или curl|sudo bash его норовит сам поставить.
| | |
|
| 1.68, Аноним (68), 16:40, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё движется к тому, что со временем в NPM будут находить нескопрометированные пакеты.
| | |
| 1.76, Аноним (76), 17:46, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не перечесть сколько ещё учётных записей присоединилось к различным проектам, чтобы однажды добавить свой кусочек кода.
| | |
| |
| 2.81, пох. (?), 18:49, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
зачем им? Судя по новости - просто используй пароль 123. К какому-нибудь лефтпаду да подойдет, и все за тебя уже присоединились и кода надобавляли, хрен там твою добавку кто увидит.
| | |
|
|
