| 1.1, Rev (ok), 23:29, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
 Какая замечательная и безопасная экосистема у JS-ников!
| | |
| |
| |
| |
| 4.27, Аноним (27), 07:42, 13/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> 2026
> считать мелкософтовские поделки за стандарт
> пакетик | | |
|
|
| 2.18, kai3341 (ok), 01:27, 13/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Какая замечательная и безопасная экосистема у JS-ников!
Иногда лучше жевать, чем говорить. Атака стара как мир. Принципиально уязвимы __все__ пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем более не под все ОС
| | |
| |
| |
| 4.45, Аноним (45), 11:17, 13/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>ой ой, уязвимы все, но почему-то только у жсников проблемы
Может быть это связано не с js, а например, с размером и числом юзеров сервиса? Да не, не может такого быть.
| | |
| |
| 5.50, Аноним (50), 11:39, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Может быть это связано не с js, а например, с размером и числом юзеров сервиса? Да не, не может такого быть.
С одной стороны да.
С другой - даже в ненужной недоОСь типа BSD нашли отличный бекдорчик живущий с 2013 года.
Но тут порадовала оперативность нахождения и устранения.
Это тебе не ХЗ библиотека, которую обнаружили спустя месяц.
| | |
|
|
| 3.60, Сладкая булочка (?), 14:00, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> Какая замечательная и безопасная экосистема у JS-ников!
> Принципиально уязвимы __все__
> пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том,
> что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это
> жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем
> более не под все ОС
Никто тебе не мешает собирать в изолированном окружении.
| | |
|
| 2.26, OpenBotNET (ok), 07:12, 13/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Это "безпасность" GitHub. Micro$oft срала на безопасность своих пользователей еще начиная с MS DOS. То есть всегда!
| | |
|
| 1.3, Аноним (45), 23:37, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.
| | |
| |
| 2.8, Аноним83 (?), 00:06, 13/05/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли.
Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.
| | |
|
| |
| 2.6, S404 (?), 23:44, 12/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Действовать наперёд, сразу удалить французкий "rm -fr ~/"
| | |
|
| 1.9, НектоОткудаТо (?), 00:06, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Плата за использование бесплатных публичных сервисов.
Жаловаться в таких случаях пострадавшие могут только на себя.
Без злорадства всякого пишу, но и без сожаления.
| | |
| |
| 2.21, 12yoexpert (ok), 03:59, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
 согласен, давай будем платить михалкову, а скачивать через госуслуги
можно ещё эплу с гуглом заставить платить
| | |
|
| 1.13, Джон Титор (ok), 00:53, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem.
Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.
| | |
| 1.15, Аноним (15), 01:19, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Сиськина опять замели под ковёр. Ща и меня отправят на скамейку пузанов.
| | |
| 1.33, Аноним (33), 09:12, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А на название-то стека обратите внимание TanStack ;) Совпалает с фамилией одного известного персонажа.
| | |
| 1.37, FSA (ok), 09:57, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Сколько нытья в комментариях. Лучше скажите какие пакеты пострадали.
| | |
| 1.39, Аноним (39), 10:08, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> в случае отзыва токена выполнял команду "rm -rf ~/".
Что-то прямо некрасиво как-то.
| | |
| |
| 2.48, Аноним (48), 11:34, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если кто-то не обучаем и не может сесть и почитать пару статей, где будет сказано как делать нужно и как не нужно, то пусть дрессируется на своём собственном опыте.
| | |
|
| 1.44, Аноним (43), 11:10, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В NPM внедрили вредноносный код
> замечены через 20 минут и блокированы спустя полтора часа
В ядро линукс внедрили бекдор:
> Copy Fail
> 2017 году при внесении оптимизации
> Dirty Frag
> проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года
Сидящие на опеньке плюсуют коммент:
"Какая замечательная и безопасная экосистема у JS-ников!"
| | |
| |
| 2.47, Аноним (46), 11:22, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Всё так. А потом ещё сопротивляются внедрению ИИ для анализа кода ядра.
| | |
| 2.49, Аноним (49), 11:38, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>В NPM внедрили вредноносный код
>В ядро линукс внедрили бекдор
Ну ты и сравнил! Проектик TanStack на JS и ядро на 40+ млн. строк на С.
>Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!"
И правильно делают.
| | |
| |
| 3.51, Аноним (50), 11:41, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну ты и сравнил! Проектик TanStack на JS и ядро на 40+ млн. строк на С.
В ведре сколько тысяч разработчиков и коммитеров?
Куда смотрели эти тысячи глаз на протяжении кучи лет?
Сколько миллионов строк кода это автогенерированные дрова?
>>Сидящие на опеньке плюсуют коммент: "Какая замечательная и безопасная экосистема у JS-ников!"
> И правильно делают.
Конечно!
Им надо сохранять репутацию uдuйотов.
| | |
| |
| 4.52, Аноним (49), 11:49, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>В ведре сколько тысяч разработчиков и коммитеров?
Не зависимо от количества конструкторов и сборщиков, сравнивать Боинг-747 с дельтапланом абсолютно не корректно.
>Конечно!
>Им надо сохранять репутацию uдuйотов.
Согласен. Ты своим примером полностью это доказал.
| | |
| |
| 5.53, Аноним (53), 12:29, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Не зависимо от количества конструкторов и сборщиков, сравнивать Боинг-747 с дельтапланом абсолютно не корректно.
Конечно.
Надежность боинга должна быть на несколько порядков выше, чем конструкция дельтаплана.
Но открывая хотя бы
lore.kernel.org/linux-cve-announce/
видно что это далеко не так.
| | |
| 5.57, Аноним (2), 12:52, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> сравнивать Боинг-747 с дельтапланом абсолютно не корректно
Естественно, не корректно. Боинг завалил куда больше народу, чем дельтапланы.
| | |
| |
| 6.58, Аноним (58), 13:16, 13/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> сравнивать Боинг-747 с дельтапланом абсолютно не корректно
> Естественно, не корректно. Боинг завалил куда больше народу, чем дельтапланы.
Ага, а 100% людей пивших воду - умерли (с)
А теперь посчитай на часы полета и выяснится, что шансов помереть в автомобиле или ОТ гораздо больше.
| | |
|
|
|
|
|
|
