| |
| 2.13, Аноним (13), 23:58, 01/06/2026 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> в принадлежащих компании Red Hat репозиториях RedHatInsights, злоумышленники смогли опубликовать в каталоге NPM 64 вредоносные версии
Когда все силы брошены в раст, системду и вейленд, получаем то, что получили.
| | |
| |
| 3.28, Tty4 (?), 03:33, 02/06/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вам дали уже ответ. Это интерпрайз, там можно все. Обычно такие вещи, как черви в оборудовании в частности и во всем и вся вообще не всплывает десятилетиями.
Когда заказчику уходит оборудование, после того, как служба качества и безопасники сказали "переделать", со словами "у нас сроки, а Вы будете оплачивать убытки из-за их срыва?"
Тут главное, чтобы у принимающей стороны не было "безопасников" - иногда они не принимают, но тогда тоже виноваты безопасники, потому что не заметили. Тут просто замкнутый круг и полная безответственность
| | |
| |
| 4.55, Аноним (13), 10:31, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Это интерпрайз, там можно все
Ну да, уже можно, и можно всё: "... в результате компрометации учётной записи одного из сотрудников Red Hat, что позволило атакующим напрямую отправить коммиты в репозитории ..."
| | |
|
| 3.76, Аноним (76), 14:10, 02/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Дододо, раст уже и во взломанных жаваскриптовых пакетах виноват.
| | |
|
| 2.19, Аноним (19), 01:50, 02/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Как-то несерьёзно, что великий и могучий IBM пользуется мусоркой от microsoft. Или кому там сейчас принадлежит GitHub...
| | |
| 2.42, Axonic (ok), 08:45, 02/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Энтерпрайзно! Срочно в продакшн!
Ты расписался в собственной некомпетентности.
Вредоносный код внедрён исключительно в процесс сборки (GitHub Actions) для узкой группы фронтенд-пакетов @redhat-cloud-services, которые используются в веб-интерфейсах облачных сервисов Red Hat Insights
Пакеты публиковались в общедоступном реестре NPM и не являются частью операционной системы RHEL, платформ контейнеризации, систем управления или другого критически важного промышленного ПО Red Hat. Ядро продуктов Red Hat архитектурно и инфраструктурно полностью изолировано от этих веб-компонентов.
| | |
| |
| 3.82, King_Carlo (ok), 17:31, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 >> Энтерпрайзно! Срочно в продакшн!
> Ты расписался в собственной некомпетентности.
> Вредоносный код внедрён исключительно в процесс сборки (GitHub Actions) для узкой группы
> фронтенд-пакетов @redhat-cloud-services, которые используются в веб-интерфейсах облачных
> сервисов Red Hat Insights
> Пакеты публиковались в общедоступном реестре NPM и не являются частью операционной системы
> RHEL, платформ контейнеризации, систем управления или другого критически важного промышленного
> ПО Red Hat. Ядро продуктов Red Hat архитектурно и инфраструктурно полностью
> изолировано от этих веб-компонентов.
А вот и маркетинг от redhat подъехал, как же без него :) Да всё безопасно, всё под контролем, ничего критически важного не задето, ага :)
| | |
|
| 2.85, Аноним (85), 22:41, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>вредоносное ПО в 32 NPM-пакета Red Hat
Как можно встроить вредоносное По, в то что само является вредоносным По).
| | |
|
| 1.4, Аркагоблин (?), 23:36, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
Новости про взломы пакетов в NPM и PyPi уже можно в мемы оформлять, насколько это часто и однотипно случается
| | |
| |
| 2.21, Аноним (19), 01:54, 02/06/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Мем - это что-то неординарное, удивляющее своей невиданной несовместимостью с обыденностью. Вроде перла автовазовского откормленного хомяка: "можем, а зачем".
А тут это уже какой-то бородатый анекдот, от которого и не смешно вовсе.
| | |
| 2.22, яя (?), 01:55, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Десятки компрометаций на десятки миллионов пакетов - это очень высокий уровень безопасности. Вот если б десятки взломов на десятки тысяч пакетов это было б другое дело.
| | |
| |
| 3.35, Аноним (35), 06:40, 02/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Десятки компрометаций на десятки миллионов пакетов - это очень высокий уровень безопасности.
> Вот если б десятки взломов на десятки тысяч пакетов это
> было б другое дело.
На самом деле это не здоровые миллионы пакетов, просто недообследованные ;)
А неоткрытые нездоровости, это просто недоработка мамкиных исследователей с нейронками наперевес, которые тыкают конторы бракоделов и таксойдётеров носом в их лужи.¯\_(ツ)_/¯
| | |
|
| 2.45, Аноним324 (ok), 09:15, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Ну потому что "атака на цепочку поставок" это достаточно новый тип атак, и раньше такого не было. Собственно это сигнализирует о том что продукты нынче настолько защищены от атак, что нужно расширять область атаки и усложнять её.
| | |
|
| 1.5, Аноним (5), 23:43, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Это корпорасты с краудстрайками, групповыми политиками и прочими ендпоинтами. Если черви и их прогрызли, то есть ли где-то вообще островок безопасности? Можно ли работать с NPM и не получить червя?
| | |
| |
| |
| 3.24, Аноним (19), 01:57, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Чем больше область доверия, тем больше область атаки. Прямой корреляции с количеством компонент в безопасности нет.
| | |
| |
| |
| 5.57, Аноним (13), 10:35, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> дело в бабкаХ
Скорее дело в (_О_), которая возникла в компании.
| | |
| |
| 6.83, Аноним (19), 17:34, 02/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
У IBM в целом все очень хорошо. Скинули маломаржинальные пользовательский сегмент и x-series китаёзам. Дальше развивают z-, i- и p-series. Успешно тянут два собственных направления процессоров: power и tellum. Развивают собственный квантовый процессор, и продвинулись заметно дальше других. Библиотеки 3592 приносят доходность выше, чем у любых прочих вендоров с lto. Смогли признать и минимизировать бремя aix. Облачные сервисы на подъёме. Плюс направление внедрений, аудита. На рынке и нет больше компаний компетенции IBM.
| | |
|
|
|
|
| 2.29, openssh_user (ok), 03:43, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Как вариант, собирать собственный репозиторий пакетов, проводить аудит изменений в исходном коде
| | |
| 2.34, Аноним (34), 06:26, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Есть решение, но оно опять таки энтерпрайзное. Это подобие антивируса, но для библиотек в сети, у софта своя база данных по пораженным библотекам и их версиям, база обновляется по подписке. На этом уже хорошие деньги зарабатывают.
| | |
| 2.60, Жироватт (ok), 10:40, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Можно.
1) Не использовать NPM.
2) Использовать NPM-подобное локальное хранилище, где каждый автор - сотрудник с ФИО и должностью
3) Отфоркать важные библиотеки, заморозить версию, проверить на вредоносы командой и только потом выкатывать в прод? Обновляя по мере необходимости, профильтровывая обновлённые версии библиотек
| | |
|
| 1.7, Аноним (7), 23:45, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На хакерньюс советуют выкинуть npm и использовать pnpm, в котором preinstall скрипты по умолчанию отключены.
| | |
| |
| 2.9, Аноним83 (?), 23:53, 01/06/2026 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ну отключены преинсталл, оно соберётся же и запустится, и всё равно сделает то что там запрогали.
| | |
| 2.12, анони (?), 23:56, 01/06/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
pnpm, это который от неадеквата? Ну, удачи при выборе из двух стульев
| | |
|
| |
| |
| |
| 4.77, Аноним (52), 14:19, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Доступ к GitHub Actions был получен в результате компрометации учётной записи одного из сотрудников Red Hat
Дело все-таки в МежДелМаш Шляпе, а не гитхабе.
| | |
|
|
|
| 1.10, нах. (?), 23:56, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
а кто понял кто на ком стоял и что это за нафиг вообще был такой? В смысле, что это вообще за скрипты, каким васянам и зачем они ненужно?
(это не кусок опенштифта, это вообще что за фигня-то?)
| | |
| 1.11, Аноним83 (?), 23:56, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Такими темпами скоро гитхуб начнёт не только 2фа требовать но и приложить ID смарткарту (пасспорт) на кардридер для осуществления коммита.
Потом начнут требовать приносить подписаннаую у нотариуса распечатку коммита в специальный центр...
В общем оно никогда не кончится, и случается даже с приличными проектами на С, просто совсем-совсем редко.
| | |
| 1.14, Аноним (14), 00:07, 02/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"в результате компрометации учётной записи одного из сотрудников Red Hat"
Хочется спросить вот вы там берете деньги с клиентов, а у вас хватило денег купить каждому ответственному сотруднику физический ключ второго фактора?
Или эти правила не для вас?
| | |
| |
| 2.15, Аноним (15), 00:16, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Хочется спросить вот вы там берете деньги с клиентов, а у вас хватило денег купить каждому ответственному сотруднику физический ключ второго фактора?
Да они просто зацензурят везде (в том числе и тут). Нет новостей, нет проблем. На самом деле очень важно понять как изначально они сделали это, может просто бабла ему кинули, может он за лейоф отомстил и т.д. И про это молчат как рыбы.
В самом худшем случае, можно все пакет манагеры для всех языков удалять. Слишком много таких событий, наверняка правило 7 (или сколько там было) скачков в соц графе и в мире софта работает. То есть любой пакет может стать в любой момент вредоносным.
| | |
| |
| 3.17, Аноним (13), 00:20, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> любой пакет может стать в любой момент вредоносным.
Да уже считай карго крейты с червячками.
| | |
| 3.23, Аноним (23), 01:55, 02/06/2026 [^] [^^] [^^^] [ответить] | +2 +/– | а почему только пакет десятки тысяч людей пришли в ит, дизайнеры и аниматоры и ... большой текст свёрнут, показать | | |
|
| 2.16, Аноним (13), 00:18, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> физический ключ
Думаете, RH-сотрудники не смогут его потерять?
| | |
| |
| |
| 4.89, Аноним (13), 01:06, 03/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Естественно, его потеряют со всей подноготной для использования.
| | |
|
|
| 2.25, Аноним (19), 02:00, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Посвятите в Ваш арго. Что есть "физический ключ ВТОРОГО ФАКТОРА"?
| | |
| |
| 3.37, Аноним (37), 07:40, 02/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
юбик, флиппер, да хоть унэп на физическом носителе
от социалки не спасет, це да
| | |
|
| 2.30, Аноним (30), 04:39, 02/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это у них традиция. В далеком 2007-м году купили сервера с RHEL на официальной поддержке. После какого-то обращения в саппорт RH по проблеме, затронувшей все купленные сервера, и куда пришлось пустить краспошапочных, следом за ними в /dev/shm вдруг обнаружились забавные бинарники, которых там быть не могло.
| | |
|
| 1.27, Dmitry (??), 03:15, 02/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как делаю я и всем советую.
1)Фиксировать версии зависимостей, никаких крышечек;
2)Выполнять только npm ci (про npm i забыть навсегда);
3)Обновлять зависимости раз в месяц на предпоследнюю версию пакета;
Это ведь всё ппц как очевидно. Странно, что люди этого не понимают.
| | |
| |
| |
| 3.46, Аноним (37), 09:57, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Алло, вы про нпм говорите, не такая большая разница между новой дыркой в новой версии или старой дыркой в предыдущей версии.
Подход апдейта с оттяжкой лучше лишь в том плане, что ты не соберешь других косяков функциональных + если будет 0-день на версии, то при оттяжечной обнове меньше шансов поймать такое, т.к. предпоследняя версия, а не latest через бота прилетел
| | |
|
| 2.39, Аноним (39), 07:51, 02/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Мы зачем так часто обновлешься? У тебя постоянно изменения, использующие новые фишки? А работающий вариант софта у тебя вообще бывает? Или чукча писатель?
| | |
| |
| 3.73, Аноним83 (?), 13:39, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не обновлятся сразу на новые версии можно только если это твои же собственные либы и ты знаешь что последние изменения тебе не очень нужны в конкретном проекте.
Для чужих 100500 либ - поди уследи за каждой: надо вчера или ещё можно пару лет не обновлятся.
И потом, там же ещё и API бывает меняют, и если долго не обновлятся потом случается много работы сразу в разных местах.
| | |
|
| 2.47, Аноним (47), 09:57, 02/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Запускать эту шушеры хотябы в контейнер это базовый минимум, а не то что ты тут написал.
| | |
| |
| 3.72, Аноним83 (?), 13:35, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну запустили вы это где в изолированной среде, а толку?
Вы лично проводите аудит того что там внутри происходит?
А бывает что там ещё всякие таймеры стоят, что первые х дней ничего не делать.
| | |
|
|
| 1.38, Аноним (39), 07:49, 02/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"атакующие" это как "хлопок", да? Чтобы не писать слово "преступники"?
| | |
| |
| 2.43, Аноним (43), 09:03, 02/06/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
Преступники это которые сайты блокируют и трафик модифицируют, а тут ничего однозначно сказать нельзя.
| | |
| |
| 3.48, Аноним (47), 09:59, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не всё так однозначно, всей правды мы не знаем. Жиа Тан не виноват. Вошёл не в ту дверь. Понять и простить.
| | |
| 3.63, Аноним (62), 11:01, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Преступники это которые сайты блокируют и трафик модифицируют
Эти в законе, они авторитеты.
| | |
| |
| 4.68, Аноним (43), 11:46, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
А в том и прикол, что действовали без права и вопреки законам. Ну, это имеет значение только в правовом государстве, тут многие выходцы из кишлаков. А вот атаковать врага, который бомбит тебя по надуманному поводу, очень даже законно. Любым доступным способом.
| | |
|
| 3.88, Аноним (13), 01:04, 03/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Преступники это которые сайты блокируют и трафик модифицируют
Т.е. клаудфляре во всей красе.
| | |
|
| 2.49, Аноним (37), 10:00, 02/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не пойман - не преступник; да и факт атаки не означает успешное ее выполнение.
А вот процесс как раз делает персонажа атакующим
Почему это надо вообще объяснять
| | |
| |
| 3.53, Аноним (39), 10:27, 02/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не умничай, не получается у тебя. Внедрение зловреда уже классифицируется всеми УК как пресиупление. Почему это надо объяснять...
| | |
| 3.75, Аноним83 (?), 14:09, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Вообще то факт преступления доказывается в суде, до суда там разные квалификации: свидетель, задержанный, подозреваемый, обвиняемый.
Атака - понятие растяжимое: я может что то на клаву уронил и оно F5 зажало, и браузер пол дня рефрешил страницу - это уже атака или ещё нормальное использование сайта?
А в случае атаки - оно как местным законом трактуется? А то бывают локации где это не регулируется вовсе.
| | |
| |
| 4.78, Аноним (39), 14:25, 02/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
По УК атака это отягчающее обстоятельство. Внедрение зловреда уже уголовно наказуемо.
| | |
| |
| 5.87, Аноним83 (?), 00:33, 03/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
РФ не весь мир и не центр вселенной.
Внедрение - не всегда означает что код внутри или что он вредоносный.
| | |
|
|
|
|
| 1.51, Eifan (?), 10:03, 02/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Та Само название "Редхат инсайтс" намекает, что всё так и должно быть
| | |
| 1.67, Аноним (67), 11:17, 02/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ого, в NPM смогли провернуть то, что в ХЗ библиотеке сделали гораздо раньше.
Отстают, однако.
| | |
|
