forum.opennet.ru - "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов" (28)

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"	+/–
Сообщение от opennews (??), 25-Ноя-25, 14:16
Зафиксирована вторая атака на пакеты в репозитории NPM, проводимая с использованием модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64322
Ответить \| Правка \| Cообщить модератору

Оглавление

Никогда не было, и вот опять 175 _ 12484 _ 175 , Аноним (2), 14:18 , 25-Ноя-25, (2) +7
Скрыто модератором, Байкал электроникс (-), 14:26 , 25-Ноя-25, (3) –1

Скрыто модератором, Аноним (6), 14:28 , 25-Ноя-25, (6) +1

Это вполне предсказуемо , Аноним (6), 14:27 , 25-Ноя-25, (5)
Если не удается пройти аутентификацию или установить устойчивое присутствие, вр, Лиечка (?), 14:28 , 25-Ноя-25, (7)
npm, cargo, PyPI - это одни большие уязвимости У Go хотя бы подход децентрализо, Аноним (9), 14:36 , 25-Ноя-25, (9)

Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого н, Rev (ok), 14:49 , 25-Ноя-25, (14) –1

Но это не точно , Кошкажена (?), 15:10 , 25-Ноя-25, (23) +2
Не выше 20 Иначе, им Раст был бы незачем , Аноним (37), 15:44 , 25-Ноя-25, (37) –1

Угу, это когда исходники тянутся с гитхаба Это ДЕцентрализованный называется , Кошкажена (?), 15:11 , 25-Ноя-25, (25) +1

Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого д, Аноним (9), 15:29 , 25-Ноя-25, (30) –1

Cargo тоже может тянуть с гитхаба или другой репы , Rev (ok), 15:40 , 25-Ноя-25, (34) +1
будь так добр, предоставь ссылку на документацию, где подтверждается данное утве, анон (-), 15:41 , 25-Ноя-25, (36) +1

Скрыто модератором, Аноним (32), 15:36 , 25-Ноя-25, (32)

Еще один довод юзать deb , Аноним (10), 14:38 , 25-Ноя-25, (10)

Если ты не знал, все исходники js-проги вендорятся в deb-пакет И тоже самое для, Анонимный аноним (?), 14:57 , 25-Ноя-25, (17) –1

У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога, Аноним (9), 14:59 , 25-Ноя-25, (18)

На самом деле есть npm подставь тут любой пакетник to nix Плюсом помимо пакет, Кошкажена (?), 15:10 , 25-Ноя-25, (22)

Все дружно переходим на Maven , X512 (?), 14:42 , 25-Ноя-25, (12)

Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота , Фонтимос (?), 15:09 , 25-Ноя-25, (21)

Так, и как с этим бороться https opennet ru 63930-npm, Аноним (15), 14:51 , 25-Ноя-25, (15)

Перестать пользоваться поделками зачеркнуть недоделками из NPM , Аноним (20), 15:08 , 25-Ноя-25, (20) +3

npm, pip, cargo и есть сами черви Сами докатились, что простая задача вытягивае, Кошкажена (?), 15:07 , 25-Ноя-25, (19) +1

Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепоч, User (??), 15:46 , 25-Ноя-25, (38)

Всего лишь надо на дискетке переключатель сдвинуть, кто помнит , Аноним (43), 15:58 , 25-Ноя-25, (43)
Да Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и, Анонис (?), 16:05 , 25-Ноя-25, (44)
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого черв, 1 (??), 16:20 , 25-Ноя-25, (46)
червь-peedor, Марк Цукерберг (?), 16:25 , 25-Ноя-25, (47)

Сообщения [Сортировка по времени | RSS]

2. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +7 +/–

Сообщение от Аноним (2), 25-Ноя-25, 14:18

Никогда не было, и вот опять.¯\_(ツ)_/¯

Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором –1 +/–

Сообщение от Байкал электроникс (-), 25-Ноя-25, 14:26

А вот сидели бы на эльбрусе, который как известно не имеет аналогов, и не было бы всех этих проблем.

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором +1 +/–

Сообщение от Аноним (6), 25-Ноя-25, 14:28

Он что настолько специфичен, что на нём даже node.js не запустить?

Ответить | Правка | Наверх | Cообщить модератору

5. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (6), 25-Ноя-25, 14:27

Это вполне предсказуемо.

Ответить | Правка | Наверх | Cообщить модератору

7. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Лиечка (?), 25-Ноя-25, 14:28

"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."

Ответить | Правка | Наверх | Cообщить модератору

9. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (9), 25-Ноя-25, 14:36

npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.

Ответить | Правка | Наверх | Cообщить модератору

14. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –1 +/–

Сообщение от Rev (ok), 25-Ноя-25, 14:49

Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.

Ответить | Правка | Наверх | Cообщить модератору

23. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +2 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:10

Но это не точно.

Ответить | Правка | Наверх | Cообщить модератору

37. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –1 +/–

Сообщение от Аноним (37), 25-Ноя-25, 15:44

Не выше 20. Иначе, им Раст был бы незачем.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:11

> У Go хотя бы подход децентрализованный
Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

30. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –1 +/–

Сообщение от Аноним (9), 25-Ноя-25, 15:29

>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?
Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

Ответить | Правка | Наверх | Cообщить модератору

34. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Rev (ok), 25-Ноя-25, 15:40

Cargo тоже может тянуть с гитхаба или другой репы.

Ответить | Правка | Наверх | Cообщить модератору

36. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от анон (-), 25-Ноя-25, 15:41

> То ли дело cargo, тянет только из crates.io. Или тот же PyPI.
будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

32. Скрыто модератором +/–

Сообщение от Аноним (32), 25-Ноя-25, 15:36

Недооцененный комментарий

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (10), 25-Ноя-25, 14:38

Еще один довод юзать *.deb.

Ответить | Правка | Наверх | Cообщить модератору

17. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." –1 +/–

Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57

Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.

Ответить | Правка | Наверх | Cообщить модератору

18. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (9), 25-Ноя-25, 14:59

У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.

Ответить | Правка | Наверх | Cообщить модератору

22. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:10

На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

12. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от X512 (?), 25-Ноя-25, 14:42

Все дружно переходим на Maven.

Ответить | Правка | Наверх | Cообщить модератору

21. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Фонтимос (?), 25-Ноя-25, 15:09

Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.

Ответить | Правка | Наверх | Cообщить модератору

15. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (15), 25-Ноя-25, 14:51

Так, и как с этим бороться ?
https://opennet.ru/63930-npm

Ответить | Правка | Наверх | Cообщить модератору

20. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +3 +/–

Сообщение от Аноним (20), 25-Ноя-25, 15:08

Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?

Ответить | Правка | Наверх | Cообщить модератору

19. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +1 +/–

Сообщение от Кошкажена (?), 25-Ноя-25, 15:07

npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.

Ответить | Правка | Наверх | Cообщить модератору

38. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от User (??), 25-Ноя-25, 15:46

> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача
> вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор.
> Обновления только по делу.
Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если вот и кода нет - то прям совсем хорошо!

Ответить | Правка | Наверх | Cообщить модератору

43. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Аноним (43), 25-Ноя-25, 15:58

Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.

Ответить | Правка | Наверх | Cообщить модератору

44. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Анонис (?), 25-Ноя-25, 16:05

Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!

Ответить | Правка | Наверх | Cообщить модератору

46. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от 1 (??), 25-Ноя-25, 16:20

Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.

Ответить | Правка | Наверх | Cообщить модератору

47. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..." +/–

Сообщение от Марк Цукерберг (?), 25-Ноя-25, 16:25

червь-peedor

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+7 +/–
Сообщение от Аноним (2), 25-Ноя-25, 14:18
Никогда не было, и вот опять.¯\_(ツ)_/¯
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Скрыто модератором	–1 +/–
Сообщение от Байкал электроникс (-), 25-Ноя-25, 14:26
А вот сидели бы на эльбрусе, который как известно не имеет аналогов, и не было бы всех этих проблем.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. Скрыто модератором	+1 +/–
	Сообщение от Аноним (6), 25-Ноя-25, 14:28
	Он что настолько специфичен, что на нём даже node.js не запустить?
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Аноним (6), 25-Ноя-25, 14:27
Это вполне предсказуемо.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Лиечка (?), 25-Ноя-25, 14:28
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Аноним (9), 25-Ноя-25, 14:36
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–1 +/–
	Сообщение от Rev (ok), 25-Ноя-25, 14:49
	Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+2 +/–
	Сообщение от Кошкажена (?), 25-Ноя-25, 15:10
	Но это не точно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–1 +/–
	Сообщение от Аноним (37), 25-Ноя-25, 15:44
	Не выше 20. Иначе, им Раст был бы незачем.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	25. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от Кошкажена (?), 25-Ноя-25, 15:11
	> У Go хотя бы подход децентрализованный Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	30. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–1 +/–
	Сообщение от Аноним (9), 25-Ноя-25, 15:29
	>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется? Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от Rev (ok), 25-Ноя-25, 15:40
	Cargo тоже может тянуть с гитхаба или другой репы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
	Сообщение от анон (-), 25-Ноя-25, 15:41
	> То ли дело cargo, тянет только из crates.io. Или тот же PyPI. будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	32. Скрыто модератором	+/–
	Сообщение от Аноним (32), 25-Ноя-25, 15:36
	Недооцененный комментарий
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

10. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Аноним (10), 25-Ноя-25, 14:38
Еще один довод юзать *.deb.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	–1 +/–
	Сообщение от Анонимный аноним (?), 25-Ноя-25, 14:57
	Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Аноним (9), 25-Ноя-25, 14:59
	У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Кошкажена (?), 25-Ноя-25, 15:10
	На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору

12. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от X512 (?), 25-Ноя-25, 14:42
Все дружно переходим на Maven.
Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от Фонтимос (?), 25-Ноя-25, 15:09
	Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.
	Ответить \| Правка \| Наверх \| Cообщить модератору

15. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Аноним (15), 25-Ноя-25, 14:51
Так, и как с этим бороться ? https://opennet.ru/63930-npm
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+3 +/–
	Сообщение от Аноним (20), 25-Ноя-25, 15:08
	Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+1 +/–
Сообщение от Кошкажена (?), 25-Ноя-25, 15:07
npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.
Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
	Сообщение от User (??), 25-Ноя-25, 15:46
	> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача > вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. > Обновления только по делу. Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если вот и кода нет - то прям совсем хорошо!
	Ответить \| Правка \| Наверх \| Cообщить модератору

43. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Аноним (43), 25-Ноя-25, 15:58
Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.
Ответить \| Правка \| Наверх \| Cообщить модератору

44. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Анонис (?), 25-Ноя-25, 16:05
Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!
Ответить \| Правка \| Наверх \| Cообщить модератору

46. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от 1 (??), 25-Ноя-25, 16:20
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.
Ответить \| Правка \| Наверх \| Cообщить модератору

47. "При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."	+/–
Сообщение от Марк Цукерберг (?), 25-Ноя-25, 16:25
червь-peedor
Ответить \| Правка \| Наверх \| Cообщить модератору