forum.opennet.ru - "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю" (41)

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю"	+/–
Сообщение от opennews (??), 09-Сен-25, 08:58
В результате фишинга атакующим удалось перехватить учётные данные сопровождающих 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный код. Это самая крупная атака на репозиторий NPM, которая затрагивает не только напрямую атакованные проекты, но сотни тысяч пакетов, зависимых от них... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63845
Ответить \| Правка \| Cообщить модератору

Оглавление

Я человек простой вижу в письме слово сесьюрити - сразу ввожу логин-пароль, что, Аноним (1), 08:58 , 09-Сен-25, (1) +14

Ну а кто мы такие чтобы задавать вопросы Нам сказали мы сделали Мы люди малень, Аноним (4), 09:06 , 09-Сен-25, (4) +4

Ну, нас постоянно к этому приучают Это же удобно, когда о твоей безопасности ду, Аноним (9), 09:20 , 09-Сен-25, (9) +5

Это письмо от раст фаундейшн , Аноним (15), 10:06 , 09-Сен-25, (15) –1

Никогда такого не было и вот опять , Аноним (2), 09:04 , 09-Сен-25, (2) +3
Новость прлаётся так как будто это какая-то неожиданность , Аноним (4), 09:05 , 09-Сен-25, (3) –1
Отлично-отлично Хламопомойки полезны для непрерывной интеграции малвари Очень , Tron is Whistling (?), 09:10 , 09-Сен-25, (5) –2

Напомни, откуда ты там в своем Линуксе пакеты ставишь Или вы не понимаете - эт, Аноним (7), 09:12 , 09-Сен-25, (7) +3

Я ставлю отсюдаhttps download etersoft ruИ да это совсем другое , AleksK (ok), 09:17 , 09-Сен-25, (8) –2

Спасибо за ссылку, конечно Но его там нет , Аноним (11), 09:25 , 09-Сен-25, (11)

Кого нет , AleksK (ok), 09:36 , 09-Сен-25, (12)

Здравого смысла , Аноним (19), 10:26 , 09-Сен-25, (19) +1

У тебя Так откуда здравый смысл у обычного опеннетовского анонима , AleksK (ok), 12:07 , 09-Сен-25, (34)

И в чем отличия Ну, кроме того, что репу сделала отечественная коммерческая конт, Аноним (7), 11:06 , 09-Сен-25, (24) –1

Отличие в том что я ни разу не видел новости что у них что-то взломали, и добави, AleksK (ok), 12:06 , 09-Сен-25, (33)

Сколько у них юзеров А сколько юзеров у нпм, гитхаба или гитлаба Будет ли об это, Аноним (-), 12:14 , 09-Сен-25, (39)

Кто Что за libux kernel , AleksK (ok), 12:34 , 09-Сен-25, (42)

Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики, User (??), 10:25 , 09-Сен-25, (18)

При этом письмо пришло 8 сентября Т е за 2 дня до якобы блокировки И чел даже, Аноним (7), 09:11 , 09-Сен-25, (6) +1

А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а , Аноним (10), 09:23 , 09-Сен-25, (10)

Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнте, Анонимный эксперт (?), 09:54 , 09-Сен-25, (13)

энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время , Аноним (20), 10:33 , 09-Сен-25, (20)
Если ты такой умный, то почему ты не энтерпрайз , Аноним (32), 12:04 , 09-Сен-25, (32)

И это называется двухфакторная авторизация Два фактора потому и два, что он, Аноним (-), 09:58 , 09-Сен-25, (14) –2

Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть Как ты дум, User (??), 10:23 , 09-Сен-25, (16) –1
Так они и независимы Видишь ли, двуфакторка сделана в первую очередь для защиты, Аноним (7), 10:24 , 09-Сен-25, (17)

а два миллиарда_загрузок_в_неделю никого не смущают не подозрительно многовато , Аноним (21), 10:40 , 09-Сен-25, (21)

Слышал когда-нибудь о CI CD , Anonim (??), 11:02 , 09-Сен-25, (22) +1
Люди любят красить буквы , Аноним (23), 11:06 , 09-Сен-25, (23)

Консольные приложения на javascript Дожили , Аноним (25), 11:10 , 09-Сен-25, (25)

По сути запускается браузер, чтоб выполнить консольную программу , Аноним (25), 11:10 , 09-Сен-25, (26)

Нет там никакого браузера, просто нода в tty текст выводит , Аноним (36), 12:09 , 09-Сен-25, (36)

Не холивара ради, а исторической справки для Консольные программы на js появилис, Аноним Анонимович Анонимов (?), 11:34 , 09-Сен-25, (29)
Значит питон, перл и прочие баг портянки тебя не смущают , Аноним (36), 12:10 , 09-Сен-25, (37)

Всё ещё верят в 2Fa аутоидентификацию А , завтра оператор сотовой заблокирует , Рандом (?), 11:29 , 09-Сен-25, (27)

Sms это и не 2fa На случай утраты доступа есть листок с распечатанными одноразо, Аноним (30), 11:40 , 09-Сен-25, (30) +1
Не, ну использовать в качестве второго фактора - _принципиально_ не принадлежа, User (??), 12:09 , 09-Сен-25, (35) +1

Если кто-то повёлся, навсегда занести их в чёрный список Как умственнонеполноце, Аноним (30), 11:30 , 09-Сен-25, (28)

victim blaming Не, не слышал - с хорошими девочками плохие вещи не случаются , User (??), 12:01 , 09-Сен-25, (31)

Это самый примитивный фишинг, старо как интернет Кого тут стоит винить, так это, Аноним (30), 12:25 , 09-Сен-25, (40)

Можно написать скрипт, который будет отправлять письма по одному А если вообще з, Аноним (-), 12:28 , 09-Сен-25, (41)

Сообщения [Сортировка по времени | RSS]

1. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +14 +/–

Сообщение от Аноним (1), 09-Сен-25, 08:58

Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.

Ответить | Правка | Наверх | Cообщить модератору

4. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +4 +/–

Сообщение от Аноним (4), 09-Сен-25, 09:06

Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.

Ответить | Правка | Наверх | Cообщить модератору

9. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +5 +/–

Сообщение от Аноним (9), 09-Сен-25, 09:20

Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.

Ответить | Правка | Наверх | Cообщить модератору

15. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (15), 09-Сен-25, 10:06

Это письмо от раст фаундейшн?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +3 +/–

Сообщение от Аноним (2), 09-Сен-25, 09:04

Никогда такого не было и вот опять))

Ответить | Правка | Наверх | Cообщить модератору

3. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (4), 09-Сен-25, 09:05

Новость прлаётся так как будто это какая-то неожиданность.

Ответить | Правка | Наверх | Cообщить модератору

5. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от Tron is Whistling (?), 09-Сен-25, 09:10

Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.

Ответить | Правка | Наверх | Cообщить модератору

7. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +3 +/–

Сообщение от Аноним (7), 09-Сен-25, 09:12

Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?

Ответить | Правка | Наверх | Cообщить модератору

8. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от AleksK (ok), 09-Сен-25, 09:17

Я ставлю отсюда
https://download.etersoft.ru
И да это совсем другое.

Ответить | Правка | Наверх | Cообщить модератору

11. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (11), 09-Сен-25, 09:25

Спасибо за ссылку, конечно. Но его там нет.

Ответить | Правка | Наверх | Cообщить модератору

12. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от AleksK (ok), 09-Сен-25, 09:36

> Спасибо за ссылку, конечно. Но его там нет.
Кого нет?

Ответить | Правка | Наверх | Cообщить модератору

19. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (19), 09-Сен-25, 10:26

Здравого смысла.

Ответить | Правка | Наверх | Cообщить модератору

34. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от AleksK (ok), 09-Сен-25, 12:07

У тебя? Так откуда здравый смысл у обычного опеннетовского анонима?

Ответить | Правка | Наверх | Cообщить модератору

24. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (7), 09-Сен-25, 11:06

> И да это совсем другое.
И в чем отличия?
Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

33. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от AleksK (ok), 09-Сен-25, 12:06

> И в чем отличия?
Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
NPM принадлежит Microsoft. Это другое?

Ответить | Правка | Наверх | Cообщить модератору

39. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (-), 09-Сен-25, 12:14

Сколько у них юзеров?
А сколько юзеров у нпм, гитхаба или гитлаба.
Будет ли об этом писать зарубежные ресурсы (спойлер: нет).
Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию?
Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
libux kernel был взломан 2 года.

Ответить | Правка | Наверх | Cообщить модератору

42. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от AleksK (ok), 09-Сен-25, 12:34

> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
> libux kernel был взломан 2 года.
Кто? Что за libux kernel?

Ответить | Правка | Наверх | Cообщить модератору

18. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от User (??), 09-Сен-25, 10:25

Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

6. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (7), 09-Сен-25, 09:11

> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы.
При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂

Ответить | Правка | Наверх | Cообщить модератору

10. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (10), 09-Сен-25, 09:23

А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.

Ответить | Правка | Наверх | Cообщить модератору

13. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Анонимный эксперт (?), 09-Сен-25, 09:54

Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется.
Но делать они этого конечно не будут.

Ответить | Правка | Наверх | Cообщить модератору

20. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (20), 09-Сен-25, 10:33

> Ну и платить
энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время?

Ответить | Правка | Наверх | Cообщить модератору

32. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (32), 09-Сен-25, 12:04

>Энтерпрайзу давно пора
Если ты такой умный, то почему ты не энтерпрайз?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

14. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от Аноним (-), 09-Сен-25, 09:58

> Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.
И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.
Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.

Ответить | Правка | Наверх | Cообщить модератору

16. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от User (??), 09-Сен-25, 10:23

Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть!
Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?

Ответить | Правка | Наверх | Cообщить модератору

17. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (7), 09-Сен-25, 10:24

> И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.
Так они и независимы. Видишь ли, двуфакторка сделана в первую очередь для защиты на стороне пользователя (если один фактор сперли), а от дыр на стороне сервера и тем более вот таких прокси, вклинившихся "между", она не защищает.
> Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.
И тогда двуфакторка превращается в однофакторку. Причем если у тебя именно второй фактор (девайс с почтой) то при такой схеме авторизации у злоумышленников теперь есть доступ ко ВСЕМ твоим аккаунтам, если на этом девайсе в браузере ты выбирал автосохраниение паролей.
И, кстати, безопасно логиниться в саму почту тоже как-то надо.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

21. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (21), 09-Сен-25, 10:40

а два миллиарда_загрузок_в_неделю никого не смущают? не подозрительно многовато?

Ответить | Правка | Наверх | Cообщить модератору

22. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Anonim (??), 09-Сен-25, 11:02

Слышал когда-нибудь о CI/CD?

Ответить | Правка | Наверх | Cообщить модератору

23. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (23), 09-Сен-25, 11:06

Люди любят красить буквы...

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

25. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (25), 09-Сен-25, 11:10

> множества библиотек для консольных приложений.
Консольные приложения на javascript! Дожили.

Ответить | Правка | Наверх | Cообщить модератору

26. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (25), 09-Сен-25, 11:10

По сути запускается браузер, чтоб выполнить консольную программу.

Ответить | Правка | Наверх | Cообщить модератору

36. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (36), 09-Сен-25, 12:09

Нет там никакого браузера, просто нода в tty текст выводит.

Ответить | Правка | Наверх | Cообщить модератору

29. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним Анонимович Анонимов (?), 09-Сен-25, 11:34

Не холивара ради, а исторической справки для.
Консольные программы на js появились ещё в 90-е на оффтопике. В 00-х расширили с помощью .net.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

37. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (36), 09-Сен-25, 12:10

Значит питон, перл и прочие баг портянки тебя не смущают?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

27. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Рандом (?), 09-Сен-25, 11:29

Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации и вы приехали что ваш номер у которому привязаны акки теперь может быть подвержен тупо быстрому хищению акков , лучше держаться одно паролевой идентификации с на геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания геолокации аноны это всё равно обезличенная масса и зачем им становиться великими они все равно этого бояться им в таком случае и навигатор не нужен.

Ответить | Правка | Наверх | Cообщить модератору

30. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (30), 09-Сен-25, 11:40

Sms это и не 2fa. На случай утраты доступа есть листок с распечатанными одноразовыми кодами.

Ответить | Правка | Наверх | Cообщить модератору

35. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от User (??), 09-Сен-25, 12:09

> Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой
> заблокирует сим сим и выдаст её левому челу уверяя вас что
> никому не выдаст этот номер раз не смог вам перевыпустить этот
> же номер на другой релокации внутри федерации и вы приехали что
> ваш номер у которому привязаны акки теперь может быть подвержен тупо
> быстрому хищению акков , лучше держаться одно паролевой идентификации с на
> геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания
> геолокации аноны это всё равно обезличенная масса и зачем им становиться
> великими они все равно этого бояться им в таком случае и
> навигатор не нужен.
Не, ну использовать в качестве "второго фактора" - _принципиально_ не принадлежащую тебе вещь - _арендуемый_ на мутных условиях телефонный номер само по себе "ну, такоэ" решение.
Но ить - считать, что вот этим вот - ну может еще TOTP концепция 2FA и ограничивается и ограничивается прям вообще волшебно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

28. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (30), 09-Сен-25, 11:30

>npmjs.help
Если кто-то повёлся, навсегда занести их в чёрный список. Как умственнонеполноценных. А, хотя, подождите, для этого же кок и принимали. Только почему они чем-то там управляют теперь?

Ответить | Правка | Наверх | Cообщить модератору

31. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от User (??), 09-Сен-25, 12:01

victim blaming? Не, не слышал - "с хорошими девочками плохие вещи не случаются!"

Ответить | Правка | Наверх | Cообщить модератору

40. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (30), 09-Сен-25, 12:25

Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так это компании, делающие легитимные рассылки с левых доменов. Но только, не заметить, что это левый сайт, в данном случае, просто невозможно. А ведь вроде взрослые околоайтишники.

Ответить | Правка | Наверх | Cообщить модератору

41. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (-), 09-Сен-25, 12:28

> делающие легитимные рассылки с левых доменов.
Можно написать скрипт, который будет отправлять письма по одному.
А если вообще заблочить левые домены, то начнется воняние васянов с подкроватными мейлсерверами типа "корпы их ущемляют".

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+14 +/–
Сообщение от Аноним (1), 09-Сен-25, 08:58
Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+4 +/–
	Сообщение от Аноним (4), 09-Сен-25, 09:06
	Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+5 +/–
	Сообщение от Аноним (9), 09-Сен-25, 09:20
	Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
	Сообщение от Аноним (15), 09-Сен-25, 10:06
	Это письмо от раст фаундейшн?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+3 +/–
Сообщение от Аноним (2), 09-Сен-25, 09:04
Никогда такого не было и вот опять))
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
Сообщение от Аноним (4), 09-Сен-25, 09:05
Новость прлаётся так как будто это какая-то неожиданность.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–2 +/–
Сообщение от Tron is Whistling (?), 09-Сен-25, 09:10
Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+3 +/–
	Сообщение от Аноним (7), 09-Сен-25, 09:12
	Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–2 +/–
	Сообщение от AleksK (ok), 09-Сен-25, 09:17
	Я ставлю отсюда https://download.etersoft.ru И да это совсем другое.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (11), 09-Сен-25, 09:25
	Спасибо за ссылку, конечно. Но его там нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от AleksK (ok), 09-Сен-25, 09:36
	> Спасибо за ссылку, конечно. Но его там нет. Кого нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+1 +/–
	Сообщение от Аноним (19), 09-Сен-25, 10:26
	Здравого смысла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от AleksK (ok), 09-Сен-25, 12:07
	У тебя? Так откуда здравый смысл у обычного опеннетовского анонима?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
	Сообщение от Аноним (7), 09-Сен-25, 11:06
	> И да это совсем другое. И в чем отличия? Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	33. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от AleksK (ok), 09-Сен-25, 12:06
	> И в чем отличия? Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы. > Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать? NPM принадлежит Microsoft. Это другое?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (-), 09-Сен-25, 12:14
	Сколько у них юзеров? А сколько юзеров у нпм, гитхаба или гитлаба. Будет ли об этом писать зарубежные ресурсы (спойлер: нет). Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию? Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры. libux kernel был взломан 2 года.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от AleksK (ok), 09-Сен-25, 12:34
	> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры. > libux kernel был взломан 2 года. Кто? Что за libux kernel?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от User (??), 09-Сен-25, 10:25
	Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

6. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+1 +/–
Сообщение от Аноним (7), 09-Сен-25, 09:11
> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы. При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (10), 09-Сен-25, 09:23
	А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.
	Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
Сообщение от Анонимный эксперт (?), 09-Сен-25, 09:54
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется. Но делать они этого конечно не будут.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (20), 09-Сен-25, 10:33
	> Ну и платить энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (32), 09-Сен-25, 12:04
	>Энтерпрайзу давно пора Если ты такой умный, то почему ты не энтерпрайз?
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору

14. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–2 +/–
Сообщение от Аноним (-), 09-Сен-25, 09:58
> Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации. И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы. Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
	Сообщение от User (??), 09-Сен-25, 10:23
	Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть! Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (7), 09-Сен-25, 10:24
	> И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы. Так они и независимы. Видишь ли, двуфакторка сделана в первую очередь для защиты на стороне пользователя (если один фактор сперли), а от дыр на стороне сервера и тем более вот таких прокси, вклинившихся "между", она не защищает. > Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт. И тогда двуфакторка превращается в однофакторку. Причем если у тебя именно второй фактор (девайс с почтой) то при такой схеме авторизации у злоумышленников теперь есть доступ ко ВСЕМ твоим аккаунтам, если на этом девайсе в браузере ты выбирал автосохраниение паролей. И, кстати, безопасно логиниться в саму почту тоже как-то надо.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору

21. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
Сообщение от Аноним (21), 09-Сен-25, 10:40
а два миллиарда_загрузок_в_неделю никого не смущают? не подозрительно многовато?
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+1 +/–
	Сообщение от Anonim (??), 09-Сен-25, 11:02
	Слышал когда-нибудь о CI/CD?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (23), 09-Сен-25, 11:06
	Люди любят красить буквы...
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору

25. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
Сообщение от Аноним (25), 09-Сен-25, 11:10
> множества библиотек для консольных приложений. Консольные приложения на javascript! Дожили.
Ответить \| Правка \| Наверх \| Cообщить модератору