URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137402
[ Назад ]
Исходное сообщение
"Фишинг позволил получить контроль над несколькими популярными NPM-пакетами"
Отправлено opennews , 21-Июл-25 09:22 
Зафиксирована фишинг-атака на сопровождающих JavaScript-библиотеки, в ходе которой от имени сервиса NPM было разослано сообщение, уведомляющее о необходимости подтвердить свой email. Проведённая атака позволила злоумышленникам...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63610

Содержание
Сообщения в этом обсуждении
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 09:22 
Ну а чего вы ждали от людей, считающих нормой подключать библиотеку для проверки четности числа?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 09:28 
Ты утрируешь немного, но да тот же dayjs получше будет, чем велосипед от васяна для дат.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 12:26 
Не велосипед а жизненная необходимость https://jsdate.wtf/
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено morphe , 21-Июл-25 20:38 
Все нормальные браузеры уже умеют Temporal API:
https://developer.mozilla.org/en-US/docs/Web/JavaScript/Refe...
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 09:29 
1. Никто не считает нормой: is-odd имеет 700,000 установок в неделю, что совсем мало по меркам популярных (часть нормы) пакетов -- десятки миллионов.
2. Библиотеки в npm более узкоспецифичны, и релизятся значительно чаще сишных аналогов. Там, где у си единый комбайн GTK с плеядой функционала, в npm отдельно поставляются: реакт только для возможности создавать компоненты, библиотека для управления дизайн-токенами, библиотека для стилизации, библиотека для отрисовки прикольного одного компонента. Это неплохой подход -- уж точно позволяет обновлять их независимо, а не ждать месяцами, пока комбайн GTK обновится.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 09:55 
Сам-то понял, что написал?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:40 
Что из написанного ты не понял?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено 1 , 21-Июл-25 15:18 
Вам не кажется, что npm и GTK попендикулярны ?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено 12yoexpert , 21-Июл-25 19:38 
я не понял, зачем ты пишешь "никто не считает нормой, но все считают, в т.ч. я"
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 10:55 
Заодно позволяет аккуратно впилить бэкдор так, что все эти тысячи хомячков, делающие по тысяче загрузок по штуке на сборку после каждой правки - ничего вообще годами не заметят.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:57 
А ситуация в пыховом компосте прямо кардинально противоположная?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:22 
Покажи новость про фишинговую атаку на пыховый композер, обсудим.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:58 
Ты же про XZ Utils, верно? Везде, где ты скачиваешь чужой код, есть риски. Но хомячки и далее будут скачивать сгенеренный кем-то тарбол вместо чекаута гита.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 11:01 
Видишь в чём прикол - в XZ Utils таки обнаружили.
А здесь - вложил версию 0.1.2.3.4567890 с бэкдором, подождал ДЕСЯТЬМУЛЬОНОВЗАГРУЗОК, вложил 0.1.2.3.4567891 - 99.99999999999% из этих ДЕСЯТЬМУЛЬОНОВЗАГРУЗОК даже смотреть не будет, чего там изменилось.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:05 
> в XZ Utils таки обнаружили

Ага, а сабжевая новость про что? Про то, что фишинг не обнаружили? Давай почитаем: "Зафиксирована фишинг-атака..." Значит обнаружили все-таки?

> даже смотреть не будет, чего там изменилось

Посмотри, сколько пакетов установлено у тебя в системе. В любом может быть бэкдор, потому что твой дистр качает сгенеренные тарболы вместо чекаута гита.

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 12:32 
Вот как раз чекаут гита лучше и не трогать. Тарбаллы так-то подписаны, и качает он их тьфу-тьфу с мегамонстра (орацл), который ни разу не публичная репо-помойка.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 18:35 
И, конечно, все чеканутые коммиты подписаны? Нет? А тарболлы - да.
А если ты исходники после распаковки тарболла не проверил, то и после джит-пулла, очевидно, не проверишь.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Анон1110м , 21-Июл-25 21:58 
Весь стэк технологий, который крутится вокруг JavaScript, подозрительно напоминает пародию на идеологию UNIX: куча мелких программ, которые максимально хреново делают свою работу, порой дублируя друг друга. Скорость работы всего этого зоопарка, даже в случае если вы используете только поддерживаемое всеми браузерами подмножество фич, будет давать такой разброс, что пользователи Firefox или IE будут наслаждаться слайд–шоу, пока пользователь Chrome будет выжимать все соки из своего компьютера, проходя простенькую пиксельную аркаду, вроде тех, которые были столь распространены на игровых консолях в 80–х и 90–х годах.

Даже то, единственно хорошее на мой взгляд, что есть в JavaScript, хваленая скорость ноды — и это результат тысяч угробленных человеко–часов на то, чтобы браузер не тормозил, когда Васин сайт бросит ему вызов всеми своими кривонаписанными скриптами. Ну или хотя бы тормозил не так сильно, когда в соседней вкладке будет работать Twitter. Это отчаянная попытка сделать вэб–приложения хоть сколько–то лучше. И эта попытка была не одна — asm.js также был одной из стратегий увеличения производительности JavaScript.

Что больше всего раздражает в JavaScript, так это иллюзия того, что перед вами полноценный язык типа Java или Python. На бумаге есть всё — встроенные в язык регулярные выражения, реализация ООП, пусть и альтернативная, как любят повторять адепты языка. И асинхронность есть — ею все уши прожужжали, а по факту всё это выливается в бесконечное хождение по мукам да лихую пляску на костылях.

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 22-Июл-25 08:13 
>хваленая скорость ноды — и это результат тысяч угробленных человеко–часов на то, чтобы браузер не тормозил

Какая связь между нодой и браузером? Ничего не путаешь?


>иллюзия того, что перед вами полноценный язык типа Java или Python

Так это не иллюзия, JavaScript действительно полноценный язык…

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Анон1110м , 22-Июл-25 10:56 
К самому языку докопаться к слову почти негде — настолько мала его доля во всем стэке технологий. Тот же DOM отдан на откуп браузерами, весь ввод–вывод отдан библиотекам, модули и человеческая поддержка ООП реализуется ими же. И куда ни глянь, в какую область применения не кинь взгляд, тут же откуда слышится шепоток восторженного JS–боя, о том, что и для этого у них есть библиотека. Когда библиотеки используются для того, чтобы использовать какой–то нестандартный или специализированный функционал — это нормально, когда библиотеки используются для расширения языка общего назначения, это тоже нормально — Boost для С++ отличный пример (если не брать в расчёт его монструозность), а вот когда библиотеки используются для узкоспециализированного языка, причем не расширяя его функционал, а просто скрывая его недостатки, то это заставляет задуматься.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Анон1110м , 21-Июл-25 21:59 
Весь стэк технологий, который крутится вокруг JavaScript, подозрительно напоминает пародию на идеологию UNIX: куча мелких программ, которые максимально хреново делают свою работу, порой дублируя друг друга. Скорость работы всего этого зоопарка, даже в случае если вы используете только поддерживаемое всеми браузерами подмножество фич, будет давать такой разброс, что пользователи Firefox или IE будут наслаждаться слайд–шоу, пока пользователь Chrome будет выжимать все соки из своего компьютера, проходя простенькую пиксельную аркаду, вроде тех, которые были столь распространены на игровых консолях в 80–х и 90–х годах.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 09:23 
Интересно, на опеннете постоянно появляются новости про фишинг в npm, а почему про пыховский компост нет новостей: мол, там нет уязвимостей?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено жявамэн , 21-Июл-25 09:56 
у нормальных языков все нормально с администрированием репозиторием
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:52 
вы хотите сказать, что пых - нормальный язык? может и так, но вот библиотеки на пыхе в компосте пишутся не разработчиками пыха, а васянами со всего света, вот так то! и на пыхе можно по-разному программировать.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено penetrator , 21-Июл-25 09:59 
так пыха мертвая, доживает свои последние дни в виде крупных проектов прошлых лет

никто не тянет ее на сайт, авторов нет

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:53 
дык, вроде в e-commerce пыха всё ещё активно юзается и в разных сайтиках на laravel, разве нет? не знаю, поэтому спрашиваю.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 22-Июл-25 01:13 
Корпы не нанимают пм-ов у котороых пых основной это не серьезно, там или лоббирование java, c# или всякие typescript-ы хотя есть какой-то там 1С Битрикс, но ничего про него не знаю давно не видел вообще кто-то 1с пользует вообще?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:54 
К сожалению все ещё самый популярный язык в вебе. Вся их проблема в том что они сильно усложнили в одной из версий, когда появилась груша, автозагрузчики файлов и много пользователей не разобрались, посчитали что все стало сильно сложно, хотя это правда.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:05 
> так пыха мертвая, доживает свои последние дни

Зачем так сразу? Но нет ничего невозможного. Учитесь у старших ТОВАРИЩЕЙ - готовьте народ постепенно (окно Овертона).

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено penetrator , 22-Июл-25 20:06 
>> так пыха мертвая, доживает свои последние дни
> Зачем так сразу? Но нет ничего невозможного. Учитесь у старших ТОВАРИЩЕЙ -
> готовьте народ постепенно (окно Овертона).

разве это моя проблема, что кто-то не видит, что ей конец (пусть долгий и мучительный, но все же перспектива уже видна), я же не общественный психолог, да и целей не преследую никаких

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 09:42 
Отличная новость. Лишний раз подтверждает очевидное - норму жизни публичных помоек кода.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:04 
По сути сделай такой же сайт - скажут, что зеркало. Имею ввиду публично никто ничего не поймет. Т.к. сейчас блокировки и все остальное.. под шумок - зеркало и все.

Фишинг не лечится обычным путем, т.к. человеческий фактор сразу сыграет в пользу мошенников.

Все же фильтры необходимы. Локальные.

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 10:10 
Мозги необходимы... локальные...
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:47 
Человеческий фактор.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:09 
Да у меня дорогой ребенок недавно вирусняк на Андроид с плей-стор Гугла поставил. О чем речь?
А что вы предлагаете вместо? Вернуться к дискам? Так проблема то была в пиратстве.
Вы знаете я не осуждаю, сам был когда-то мал и беден, и скачивал весьма многие программы и видео (в основном для образования), но если у вашей семьи есть деньги или вы уже взрослый и зарабатываете - кто вам мешает купить, да честно поступить? Вы знаете я даже купил старые книги, которые уже давно прочёл когда денег не было просто чтоб отблагодарить автора (надеюсь это помогло).
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 12:31 
Вирусняк на андроид? Ну так ещё поставьте туда свои банк-клиенты, будет действительно дорогой ребёнок.

А в целом ваш пост - про бузину и дядьку.

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 15:17 
Так фишинг может везде быть запрятан:
21-й: https://cnews.ru/link/n533617
23-й: https://www.forbes.ru/tekhnologii/484840-group-ib-rasskazala...
24-й: https://cnews.ru/link/n609984
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 09:53 
Такие атаки должны выявляться браузером: переход на ранее не посещенный адрес, который отличается одной или похожими буквами от адреса в истории посещения.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено dannyD , 21-Июл-25 10:34 
ну да, давай встроим в бровзер ИИ )))
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Tron is Whistling , 21-Июл-25 10:57 
> ну да, давай встроим в бровзер ИИ )))

ИИ уже впору пользующимися всеми этими NPM встраивать...

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 10:59 
ИИ там нам нах не нужон! Нужна довольно примитивная и легковесная эвристика.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 12:31 
Любую твою вристику можно обмануть узнав алгоритм. У ИИ алгоритм скрыт.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 16:00 
Надо чтобы такие убогие атаки, как подмена одной буквы и т.п. не срабатывали. Пусть даже все правила эвристики будут известны.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:12 
Уже выявляются. Посмотри настройки какого-нибудь Эджа
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:33 
Браузер никому ничего не должен он уверенный в себе субъект.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 12:42 
Если человек не пишет код сам, а собирает его по файловым помойкам, ему уже ничто не поможет - ни браузер, ни ИИ, ни браузер с ИИ, не IDE с ИИ или без, ни антивирус. Другое дело - работодателя ситуация устраивает.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено 1 , 21-Июл-25 15:21 
Скоро ИИ будет сам собирать код по файловым помойкам.

"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 16:17 
Не это ли было целью ИИ - проделать дверь изнутри?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 16:41 
Так уже. Разве гитхаб, на которой столуется копилот - не мусорный бак?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Ананимаз , 21-Июл-25 10:57 
надеюсь лефтпад не пострадал. Держу кулачки.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 22-Июл-25 01:14 
давно уже затащили в стандарт разрабы то не дураки хорошие библиотеки популярные реализуют
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:41 
Почитайте тикет по ссылке, там целая драма. В ответ на сообщение о нездоровых изменениях и публикации пакетов чел пишет "Похоже что у кого-то утёк токен!". А ему отвечают "Опубликовал эти пакеты ты, так что это наверное твой токен утёк". И он наконец-то раздупляется и сообщает, что стал жертвой фишинга.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 12:11 
Это нормальный прием в определенных кругах - сочинять всё новые доводы, пока какой-нибудь из них не убедит собеседника (собеседников). Одни делают вид, что говорят правду, другие делают вид, что им верят.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 11:54 
Зачем нам клиентский JS, когда есть Траст?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 13:45 
Поэтому логины и пароли нужно хранить в браузере, который не будет автоматически их подставлять в форму, если домен подменили. Когда же они научатся?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 14:29 
Половина сайтов написаны обезьянами и в них пароль не подставляется и без подмены домена, к этому все привыкли, поэтому просто будут вводить пароль на левом сайте.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 14:45 
В localStorage, которое подвержено XSS или где?
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 15:32 
Нужна безальтернативная двухфакторная аутентификация по хардварным ключам и криптографические подписи релизов. В идеале, запрет публикации любого  кода, в котором есть непописанные коммиты. Всё остальное полумеры, которые не будут работать.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 15:44 
M и N на клавиатуре рядом находится. Это баг!
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 16:29 
Да понятно, что отправитель письма просто опечатался. К нему претензий быть не может ).
Виноват невнимательный юзер.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 17:41 
Интересно девки пляшут, сервис почти что критической инфраструктуры не имеет даже SPF/DMARC записей в ДНС, что позволяет спокойно слать фишинговые письма (рукалицо)
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 18:24 
А вы как хотели? Тыртырпрайз. Сурьёзный бизнес. Сурьёзные дяди проглядели что их рабы, вместо гребли на галерах, были слишком заняты поливанием помоями сообщества в комментариях на Опеннете. Сократят бюджет подхалимам, увеличат - эйчеркам, schеки подсдуются, хвocты подберутся, и всё наладится. (Нет.)
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 22-Июл-25 15:05 
Это фишинговое письмо было без меток SPF, DKIM, DMARC. А у домена npmjs.org все эти метки есть.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 21-Июл-25 22:39 
Ждем, когда то же самое будут делать с cargo и crates.io.
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 22-Июл-25 01:15 
сначала его нужно сделать популярным, а пока там три землекопа и особо нет желающих использовать
"Фишинг позволил получить контроль над несколькими популярным..."
Отправлено Аноним , 22-Июл-25 10:11 
не три, а полтора