URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138568
[ Назад ]
Исходное сообщение
"Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2"
Отправлено opennews , 04-Дек-25 23:40 
Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64377

Содержание
Сообщения в этом обсуждении
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 04-Дек-25 23:40 
А можно вкратце, обычному юзеру надо что-то делать?
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено кек , 04-Дек-25 23:42 
не использовать javascript, typescript и все прочие недоделки около них
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 07:18 
Я недавно был свидетелем атаки через vim. Причем я так понял, девелоперские машины с помощью дыр в нем, давно уже успешно ломают.
К моему разочарованию, у vim даже не проводилось какого-либо серьезного аудита безопасности. При этом его обычно запускают в девелоперской системе с полным доступом и контролем кода. Имея возможность через бэкдор запускать вредоносный сценарий, код помимо прочего читает файл known_hosts и пытается соединиться с серверами по SSH, в надежде на отсутствие passphrase. А у большинства разработчиков на деле, редко в дополнение к ключам используется пароль.

Так что любой рабочий код и даже среда разработки, могут иметь вредоносный код.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Жироватт , 05-Дек-25 08:39 
Ссылку, пж.
Пока нет ссылки - антикриза от джеэсера-нодовика
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 09:01 
Ага, ага, ссылку на готовое решение. Кто вам такое будет публиковать открыто и бесплатно? Вы вообще хоть что-то понимаете в информационной безопасности или хотя бы образование?

Кто занимается информационной безопасностью, прекрасно знают где изучать этот вопрос. Поверьте, это никого из специалистов, непосредственно связанных с этой проблемой не удивляет, поскольку в последний год весь девелоперский софт уже давно стал целью для проведения атак, т.к. это целевой гейт для вторжения в более защищенные узлы системы. Это было и раньше, но в этом году прям пик.

Для повышения образованности, советую поездить в командировки по хакатонам (знаю, дорого :( ). Тогда для вас откровется печальная картина безопасности современного софта.

P.S. В Сбере особо остро знают эту проблему.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 09:43 
Как обычно, беспруфный эксперт газифицировал лужу.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 12:12 
> Тогда для вас откровется печальная картина безопасности современного софта.

Только в СССР?

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Bottle , 05-Дек-25 12:14 
Анон слился, когда начали спрашивать за аргументацию.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Джон Титор , 05-Дек-25 12:30 
С одной стороны я понимаю что ваш бизнес состоит в секретах информационной безопасности. С другой - дайте все же аргументацию на счёт ваших запугиваний клиентов которые выбирают веб. Или это форма недобросовестной конкуренции? Как у сишников и растов которые занимаются одним и тем же?

Потом другой вопрос - Сбер то тут при чем? Майкрософт наняла пиарщика на полставки для рекламы своих технологий?

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено MACTEP53 , 05-Дек-25 09:18 
Ну по правде говоря все держится на репутации пакета, в go тоже можно подцепить репозиторий для работы с датами, который в назначенное время откроет порт.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Jeck , 05-Дек-25 10:35 
Не использовать linux, очевидно же
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 12:13 
А что использовать, Гугло?
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено th3m3 , 05-Дек-25 00:20 
Не тянуть в систему всякое УГ на электроне.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено 21yosenior , 05-Дек-25 12:50 
> Не тянуть в систему всякое УГ на электроне.

На русте не тянуть. Как и на любом ином лефтпад-языке.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 01:59 
> В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными

Обычные люди не используют гитхаб, им делать ничего не надо.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено нах. , 05-Дек-25 09:39 
обычные получат этого червя через curl|sudo su - как они привыкли. Делать им, действительно, ничего не надо.
Да они и не хотят.

К тому же trufflehog на их системе ничего полезного со своей точки зрения не найдет, заплачет и самоудалится.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 11:40 
> curl|sudo su - как они привыкли

Этих не жалко, они сами выбрали свой путь. Да пребудет с ними раст.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 00:53 
> На 87% систем использовался Linux, 12% - macOS и 1% - Windows.

Ну вот, а говорили что виндузятники дypаки.
А оказалось что в дypaках линуксойды.

> "node setup_bun.js"

Ага! Вот он и попался!
Не зря их выкупили, они прям все данные хотят соскрапить.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено 12yoexpert , 05-Дек-25 01:13 
а я говорил, что популяризация линукс - плохая идея
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Надгробный , 05-Дек-25 09:19 
Федорчук ещё на заре века патетически вопрошал: Нужны ли Линуксу пользователи!?
Таки я согласен с тем, что не нужны. Ну вас на. И вы это уже пару с плюсом десятилетий успешно доказываете. Я доволен.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Ff , 05-Дек-25 10:16 
Что то надо нести ? Горит что есть что взять ? Причины тряски ? Диодное 3D? Physics ?
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 01:24 
Угу.
Думаю первые звоночки были уже давно, а ситуация с ХЗ библиотекой была уже набатом.
Просто наивные инфантильные аутисты привыкли верить кому попало.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Жироватт , 05-Дек-25 08:42 
> 100% опрошенных в интернет опросе пользуются интренетом

Слишком толсто, попробуй тоньше, что ли?

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено нах. , 05-Дек-25 09:33 
не, ну чо ты так... может они не все такие. И большинство запускали этот червяк в wsl.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 11:58 
> 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - > GitLab CI, 3% - AWS CodeBuild)

неудивительно что

> На 87% систем использовался Linux

далее:

> 12% - macOS и 1% - Windows.

Итого в сухом остатке получается что ломанули непропорционально много маководов (чуть больше половины всех взломаных персональных аккаунтов)

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Аноним , 05-Дек-25 07:22 
Всё это сулит "блестящее" будущее публичным репо.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Жироватт , 05-Дек-25 08:43 
Скорее не самим публичным репам, а процессу их создания и верификации их содержимого.
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено нах. , 05-Дек-25 09:34 
надо срочно внедрить шестифакторную идентификацию! С отпечатками всех пальцев и сдачей анализа мочи!

(так - точно победим!)

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено Джон Титор , 05-Дек-25 12:38 
Идея идентификации пользователя с получением адреса устройства не так плоха как кажется
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено 21yosenior , 05-Дек-25 12:45 
> Идея идентификации пользователя с получением адреса устройства не так плоха как кажется

Плоха. Да и идентификация к этой теме никак не относится.

"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено YetAnotherOnanym , 05-Дек-25 11:39 
Гы... А чего ещё можно было ожидать от технологии, где для "посчитать два плюс два" требуется отдельный пакет из публичной помойки?
"Анализ конфиденциальных данных, захваченных червём Shai-Hulu..."
Отправлено 21yosenior , 05-Дек-25 12:43 
Это ты про руст? Ожидать особо нечего было, однако большинство ожидало. Рассуждения пост-фактум мало что значат.