https://www.opennet.dev/openforum/vsluhforumID3/138482.html Зафиксирована вторая атака на пакеты в репозитории NPM, проводимая с использованием модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64322<br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#134 Sat, 06 Dec 2025 03:39:44 GMT Надо все комиты в репозитории и пакеты релизов заверять PGP подписью:<br><br>Linux Foundation https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-all-linux-kernel-developers-nitrokey-usb-keys<br><br>Gentoo Foundation https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-developers-usb-keys<br><br>Arch Linux Developers https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-keys<br><br>Nextcloud https://www.nitrokey.com/news/2019/nitrokey-and-nextcloud-collaborate-securing-private-clouds<br><br><br><br>PIV (Personal Identity Verification) https://www.nitrokey.com/news/2025/nitrokey-3-firmware-18-piv-windows-login-nist-p-521-brainpool<br><br><br><br>Common Criteria EAL 6+ certified https://www.nitrokey.com/news/2021/new-nitrokey-3-nfc-usb-c-rust-common-criteria-eal-6<br><br>Nitrokey 3A Mini Receives Official FIDO2 Certification https://www.nitrokey.com/news/2024/nitrokey-3a-mini-receives-official-fido2-certification<br><br>2026 - FIDO2 Level 2 Certification https://www.nitrokey.com/n https://www.opennet.dev/openforum/vsluhforumID3/138482.html#133 Fri, 28 Nov 2025 22:07:57 GMT Угу вот потому что у них высокий IQ они на crates занимаются сквотингом. Со словами "я такой хороший я забил за собой этот такой прекрасный common name пакета, если кто хочет его забрать обратитесь вот по этим адресам". Например, выходит какая-нибудь библиотека под условный Go она такая от большой компании, но открытая. А "благородный" человек занимает имя пакета для "безопасности" ну да ну да.<br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#132 Thu, 27 Nov 2025 22:48:37 GMT Нужно сделать и стандартизировать унифицированный стандарт АПИ для драйверов и системных компонентов. Единый, ну, по крайней в рамках одного поколения реализаций ядра. WinNT driver API как пример.<br>Чтоб можно было исключить общие репозитории.<br>Иначе от подобных проникновений в саму систему дистрибуции пакетов не защититься.<br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#131 Thu, 27 Nov 2025 16:14:08 GMT &gt; У нас безопасники отключили весь npm целиком от корпоративной сети, пока пыль не уляжется.<br><br>А у вас безопасники не знают про хэш-суммы? Как вообще можно слить зараженный пакет?<br>В package-lock.json есть поле integrity, которое по идее не даст слить зараженный пакет. Кроме того, в самом packages.json можно указывать хэш как для пакетов, так и для коммитов, если пакет из гита собирается.<br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#130 Thu, 27 Nov 2025 15:56:30 GMT Вот я тоже удивляюсь. Такое ощущение, что люди еще на локальной машине разработкой заниманиются, а деплоят по ftp, раз не знают таких элементарных вещей.<br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#129 Thu, 27 Nov 2025 15:54:40 GMT &gt; Все дружно переходим на Maven.<br><br>На это страшное дерьмище? Да ни в жизнь. npm хоть имеет возможность себя защитить, а maven - сплошная дырень.<br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#128 Thu, 27 Nov 2025 12:11:14 GMT Зря. Потому что вот этого червяка в их базе пока еще не было.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#127 Thu, 27 Nov 2025 12:09:10 GMT &gt; У нас так же с гошными пакетами. Многие из них с 2020 не обновлялись. <br><br>червяк из 2020го года просто счастлив.<br><br>Пара закладок и десяток уязвимостей - тем более.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/138482.html#126 Thu, 27 Nov 2025 12:08:15 GMT коноплев, это пять.<br><br>Чувак, дай угадаю - в твоем подвале никогда не было никаких безопасников. Настолько, что ты вообще не отдупляешь чем эти ребята занимаются.<br><br>