В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56318

• В репозитории NPM выявлено 17 вредоносных пакетов,fernandos, 22:54 , 09-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 23:05 , 09-Дек-21
    • В репозитории NPM выявлено 17 вредоносных пакетов,fernandos, 23:13 , 09-Дек-21
      • В репозитории NPM выявлено 17 вредоносных пакетов,Константавр, 07:27 , 10-Дек-21
        • В репозитории NPM выявлено 17 вредоносных пакетов,fernandos, 12:05 , 10-Дек-21
          • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 14:55 , 10-Дек-21
          • В репозитории NPM выявлено 17 вредоносных пакетов,Анонимный хомяк, 07:24 , 11-Дек-21
        • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 18:02 , 10-Дек-21
    • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 02:52 , 11-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 09:27 , 10-Дек-21
    • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 09:31 , 10-Дек-21
      • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 09:57 , 10-Дек-21
        • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 10:15 , 10-Дек-21
        • В репозитории NPM выявлено 17 вредоносных пакетов,fernandos, 12:07 , 10-Дек-21
          • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 13:36 , 10-Дек-21
      • В репозитории NPM выявлено 17 вредоносных пакетов,пох., 16:30 , 10-Дек-21
    • В репозитории NPM выявлено 17 вредоносных пакетов,fernandos, 12:04 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Rev, 23:05 , 09-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 23:26 , 09-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 23:34 , 09-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 01:46 , 10-Дек-21
    • В репозитории NPM выявлено 17 вредоносных пакетов,InuYasha, 20:06 , 11-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 00:10 , 10-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 00:44 , 10-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,мимоомыч, 01:18 , 10-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,виндотролль, 01:26 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 01:34 , 10-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 04:11 , 10-Дек-21
    • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 06:06 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,псевдонимус, 03:03 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,псевдонимус, 03:04 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 03:37 , 10-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 06:07 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,BratishkaErik, 04:55 , 10-Дек-21
  • В репозитории NPM выявлено 17 вредоносных пакетов,Онаним, 11:44 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,СССР, 08:57 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 09:16 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 11:36 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Онаним, 11:43 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,ELF, 14:19 , 10-Дек-21
• В репозитории NPM выявлено 17 вредоносных пакетов,Аноним, 16:52 , 10-Дек-21

Да ну, скучно же уже читать про очередную порцию малваря в нпм.

И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?

При тайпсквотинге никто и не предполагает, что кто-то будет на сайте эти пакеты смотреть. Расчёт на то, что при работе в командной строке или определяя зависимости кто-то опечатается. Судя по сотням загрузок подобные опечатки не редкость.

Так ССЗБ, ну как это: знать, что репозиторий наполняется *пользователями*, никаких гарантий того, что малваря нет, и всё равно так бездумно доверять.

Для этого надо ещё и достоверно знать название настоящего пакета. А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик. Вообще, это и было изначальное зло, вывести пакеты из под контроля дистрибутива. Ведь вероятность проникновения сторонних пакетов в таком случае снижается почти до нуля.

> А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик

Простите, но ведь это позор. Если у человека такое отношение к разработке, то что можно ожидать в остальных сферах жизни?

"Выберу соль свинца вместо поваренной, мне название больше нравится."

Вам бы этот свой элитизм поганый поумерить. Чай сами пользуетесь деньгами не умея в фондовые рынки, вступаете в правовые отношения не зная наизусть законов и катаетесь на машинах не умея перебрать двигатель. Это ли не позор? Или это другое?

Не, не так! В магазине на одной полке стоит соль поваренная, соль свинца, сулема, диоцид, каломель и т.д.

Отдельно надо сказать спасибо некоторым авторам, которые дают одно название либе, а пакету другое

>  Судя по сотням загрузок подобные опечатки не редкость.

На статистиску загрузок влияют боты. Для примера можно опубликовать совершенно никому не нужный модуль и по истечении некоторого времени у него тоже будут загрузки.

>И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?

Думаете nodejs используют разумные люди?

Разумные люди используют инструменты, наиболее подходящие для своих задач, и не оглядываются на мнение ламера "Аноним (27)".

Это не инструмент, а игрушка для детей.

И игрушка, и инструмент, и для детей, и для взрослых. Времена, когда с ЭВМ могли работать только ученые, остались в середине прошлого века. Тот факт, что тебя допустили до интернета, это наглядно показывает.

Да хватит уже, там под капотом В8 --- гениальный движок.

То, что дети играются с нодой, не делает её игрушкой для детей.

>там под капотом В8 --- гениальный движок.

Видимо поэтому популярность nodejs резко упала с 50% до 30%.
Похоже недостатки перевесили возможность нанима ть низкоквалифицированных мартышек.

Ага, а потом - "а чего это у тебя одного глаза нет? - А болгаркой выбило!" - использовал инструмент, наиболее подходящий для своих задач. Не оглядываясь. Ну и подумаешь, глазик...
Есть же еще второй, для другого инструмента.

Думаю, что подобные обобщения крайне глупы.

> В репозитории NPM выявлено 17 вредоносных пакетов

Не удивили.

Да вы что? Не может быть.

p.s. вредоносные пакеты это весь npm

а почему эта новость до сих пор не в cron?

> не в cron?

*/10 *    * * *    user    espeak -vru -s 60 "В репозитории NPM выявлены вредоносные пакеты"

Надо достоверно! Типа bash $(curl google?q="command how to download NPM repo") && scan . | wc -l >> newmalwarez.txt
и в telecram-cli post OpenNet << "В репозитории NPM выявлено %d вредоносных пакетов" :D
или лучше rsync npm-mirror.yandex.fu virustotal.com >> i_loled.log

PS: +1 за espeak )

Надо вводить понятие вредоустойчивости зависимых библиотек с избыточностью. Так любые зависимости должны основываться на на минимум трех различных библиотеках имеющих идентичную функциональность. И быть написаны разработчиками принадлежащим разным этноконфессиональнорассовым группам для уменьшения рисков одновременного завреднения. Все библиотеки должны использоваться одновременно, но достоверным признавать только результат отдаваемый большинством. В случае если библиотека три раза вернула недостоверный результат, то исключать её из проекта и вместо неё подключать горячую замену (HOT FORK).

Или забить на npm

Этот анон хоть и омыч, но здравое зерно в его словах есть.
inb4 тоже омыч

так результат будет таким же. Вредоносная библиотека будет обладать сайдэффектами.

> В репозитории NPM выявлено 17 вредоносных пакетов

Fix: В репозитории вредоносных пакетов...

Что не так с NPM?

В нём выявлено 17 вредоносных пакетов

Увидел, схватил, потащил. Сороки-воровки.

Опять в паразитарии с вредоносными пакетами обнаружили вредоносные пакеты..

Чет мало, всего лишь 17. Раньше и по 70 накрывали за раз, нет?

Маскироваться стали лучше.

Сегодня в Log4J уязвимость нашли https://www.lunasec.io/docs/blog/log4j-zero-day/

Новость сделаю потом, щас я хочу узнать как свой сервер обезопасить

Выключить из розетки.

вот еще один пример популярности яп, т.е. что значит выражение "популярный язык" ? а то и значит что и телефон, с камерой 43 мегапикселя. и стал я замечать что в инсте то и посмотреть толком нечего, безвкуситца, просто заработанное бабло на бессмысленном трафике, показанной рекламе. В противовес встречаются профили где фото сняты на светосильную оптику, а так же на дешовые мобильники но восхищает постановка кадра, постобработка, чувствуется характер. Вот и популяризация тех или иных языков программирования, не увеличивает колличество достойного софта, как и программистов.

>В репозитории NPM выявлено 17 вредоносных пакетов

Ничего нового. Было бы очень удивительно, если бы их там не было.

Когда в репозитории NPM количество вредоносных превысит количество полезных?

Да блин, на помойке выявлена тухлятина.
Сюрприз! Сенсация! Невероятно!

Ключевые слова: nmp
это в тему?

[N]oxious

ackage [M]anager (c)