URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137787
[ Назад ]
Исходное сообщение
"Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски"
Отправлено opennews , 10-Сен-25 08:44 
История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг   учётных данных  сопровождающего NPM-пакеты  проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63854

Содержание
Сообщения в этом обсуждении
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Жироватт , 10-Сен-25 08:44 
Шо, опять?
Никогда ж такого не было - и вот опять.

А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим

"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено localhostadmin , 10-Сен-25 09:51 
Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено пох. , 10-Сен-25 10:06 
да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может.
Это тебе не нескучный js.

"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 10:14 
Юные хакеры просто не смогли написать код, на который боров не жалуется.
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено vvwvv , 10-Сен-25 16:25 
Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Rev , 10-Сен-25 15:27 
> А, между прочим, карго так активно еще не ломали...

Потому, что порог входа сильно выше, чем в JS. На расте пишут самые умные, их сложнее обмануть и выудить учётные данные.

"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 16:12 
Не. Что бы писать на расте умным быть не надо, в этом одно из его преимуществ. Он доступен всем. Чуть сложнее какой-нибудь Java.

Дело не в том, что пишущие на расте - умные. Дело в том, что отказывающиеся на нём писать - не сильно умные. Другими словами, не надо много ума, что пользоваться смартфоном. Но надо много неума, что бы отказываться им пользоваться.

"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 08:56 
А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Diozan , 10-Сен-25 09:28 
Взломанная СУБД - это уже не просто СУБД и не только СУБД....
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено 1 , 10-Сен-25 09:29 
Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 09:44 
Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено 63506 , 10-Сен-25 09:26 
Да-уж, неделька ужасов для хипстеров идет. Ждем продолжения банкета на соседних зумерских площадках.
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 10:31 
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.

На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.

"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 11:29 
А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 11:52 
Ну айпишник очередной ВЧ и что дальше?
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 13:49 
дальше звоним Бибе
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 13:13 
пора антивирус для JS делать)
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Tron is Whistling , 10-Сен-25 14:16 
rm -rf сойдёт?
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено Аноним , 10-Сен-25 15:12 
И опять NPM... Может, пора что-то делать.
"Атакующие получили контроль над NPM-пакетами проекта DuckDB ..."
Отправлено AleksK , 10-Сен-25 16:00 
Микрософт как царь Мидас. Только тот все превращал в золото, а Микрософт все превращает в г**но. Даже винда, в тестах на 15% медленнее убунту оказалась.