https://opennet.ru/openforum/vsluhforumID3/136299.html Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториях, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62892<br> https://opennet.ru/openforum/vsluhforumID3/136299.html#52 Mon, 17 Mar 2025 13:10:03 GMT Похоже, если сделать правильный набор действий в форке, то окажется, что "должен то должен, но не обязательно"<br><br>"Кроилово ведёт к попадалову". Решили сэкономить и форки делаются путём линков на родителя... Похоже что не все случаи проверили и не всегда при изменениях в форке расцепляются линки с папой, и .... "получилось как всегда"<br> https://opennet.ru/openforum/vsluhforumID3/136299.html#51 Mon, 17 Mar 2025 11:08:22 GMT у тебя уровень критического мышления равен нулю?<br> https://opennet.ru/openforum/vsluhforumID3/136299.html#50 Mon, 17 Mar 2025 11:05:13 GMT &gt; Who is nikitastupin? Он автор этого изменения, или его взломали?<br><br>Судя по всему он просто автор скрипта memdump.py, написанного в рамках исследования (https://github.com/nikitastupin/pwnhub), который заюзали атакующие<br> https://opennet.ru/openforum/vsluhforumID3/136299.html#48 Mon, 17 Mar 2025 05:58:28 GMT &gt; Сама концепция гита - ущербна.<br><br>GitHub не Git<br><br>&gt; Пытался я как то небольшой репорт отправить, мне сказали,<br>&gt; - сделайте форк нашего проекта к себе(!),<br>&gt; - сделайте исправление кода у себя в форке,<br>&gt; - пришлите нам ваши изменения в вашем форке и мы подумаем принимать ли.<br><br>этот набор действий означает просто PR (Pull Request), просто вам расписали подробно, вдруг вы новичек и не знаете? Cоздавать форки у себя абсолютно нормально, а вот когда в основном репозитории разрешают гадить и плодить ветки это ненормально, это нужно делать в форках. Более оптимального способа отправить PR нет, если вам, кажется, что можно сделать ещё проще, то как?<br><br>&gt; А я хотел им тупо на ошибку указать в одном месте.<br><br>Тогда просто пишите ошибку в Issues, если вас просят создать ещё и PR, это не обязывает вас его создавать, вас просто побуждают сделать хороший поступок, это примерно, как, когда человек убирает поднос с объедками за собой в общественной забегаловке, а не взваливает эту ношу на персонал, хотя персонал всё равно https://opennet.ru/openforum/vsluhforumID3/136299.html#47 Sun, 16 Mar 2025 21:18:50 GMT &gt; Как ты понимаешь, явные баги долбавшие вот именно разработчиков, <br>&gt; в их конфигах - долго не живут.<br><br>еще как живут. Годами. <br>(достаточно вспомнить баг который разработчики net/3 "ловили всем аулом" ГООООД - а там не какие-то мелочи, там kernel panic был)<br><br>&gt; Вы и правда ни о чем не договаривались. Но при сильной двиергенции форка от апстрима<br>&gt; работенки подвалит почему-то таки - тебе :)<br><br>от криворучек не желающих признавать собственные ошибки и исправлять их - не подвалит. <br><br> https://opennet.ru/openforum/vsluhforumID3/136299.html#46 Sun, 16 Mar 2025 17:28:31 GMT &gt; В этой DVCS самой по себе всего вон того - вообще нет.<br><br>А в ней своего вообще ничего нет. Поделка для локалхоста с подделкой историй, ни авторизации, ни логинга, ни разделения прав, нихрена. Потому что подельщик не умел и не хотел учиться.<br><br>И исправить ничего не получится, хоть microsoft, хоть архангел Гавриил - потому шта савместимасть.<br><br>&gt; Вот не надо грязи в женской бане, я уже забыл кренделя на гитхап. Так что не жру.<br><br>так твой код и не нужен никому.<br><br> https://opennet.ru/openforum/vsluhforumID3/136299.html#45 Sun, 16 Mar 2025 17:02:04 GMT Извините, но я не понял вот эту часть<br><br>&gt; и обновления всех тегов в родительском репозитории с учётом нового SHA-хэша форка.<br><br>Понятно, что он сделал форк и залил туда вирьё. Но как он обновил тэги в основном репе? У тебя же должен быть доступ, чтоб запушить или сменить тэги.<br> https://opennet.ru/openforum/vsluhforumID3/136299.html#43 Sun, 16 Mar 2025 13:07:50 GMT &gt; да-да, это ж они написали р-опую vcs в которой подмена истории не <br>&gt; катастрофа с записью во все логи, а рутинная операция. Ой, нет. <br>&gt; Ее б-жок с пальцем наляпал задней левой ногой.<br><br>В этой DVCS самой по себе всего вон того - вообще нет. Факапище чисто в майкрософтовском обесе :D. Тут совсем не отмажешься.<br><br>&gt; Ему не жмет, у него на локалхосте никто форсед пуш кроме него не сделает.<br><br>Зато у майкрософт индусы которые сперва накодят ништяков - потом с удивлением узнают что оказывается эвон как можно было. Где были пм и архитекты кхе-кхе "решения" мы вообще тактично помолчим. Видимо - еще чистили индийский сортир, а i++ итерация собеса только через недельку.<br><br>&gt; А что вы жрете с лопаты любой навоз лишь бы забесплатно - <br>&gt; тоже корпорация зла виновата.<br><br>Вот не надо грязи в женской бане, я уже забыл кренделя на гитхап. Так что не жру.<br><br> https://opennet.ru/openforum/vsluhforumID3/136299.html#42 Sun, 16 Mar 2025 13:04:56 GMT &gt; Они знают, но просто нам не говорят, что бы еще больше мамкиных <br>&gt; хацкеров не начали деструктивно дестроить все подряд.<br><br>А таки - примеры уже есть, так что - начнут.<br><br>&gt; Почему вредоносные теги прописались в родительском проекте, переписав оригинальные - этот <br>&gt; факап надо чинить.<br><br>Очень стебно что эти индусы что-то смеют вещать про "цепочки поставок" и навязывать 2FA, сами сидючи с такими плюхами.<br><br>&gt; HTML+JS, в которых ВНЕЗАПНО оказалось можно рассылать вирусы, и даже письмо <br>&gt; не обязательно было открывать.<br><br>Ога, прикольно придумали. И активиксы примерно так же еще были. Улучшили, так что все корпфаеры теперь такую почту просто под нож пускают, от греха. Лучше чем очередной вариант пакости типа мсбласта пытаться по всему энтерпрайзу удалить.<br>