The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В репозитории NPM выявлено 17 вредоносных пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от opennews (ok), 09-Дек-21, 22:54 
В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56318

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В репозитории NPM выявлено 17 вредоносных пакетов"  +11 +/
Сообщение от fernandos (ok), 09-Дек-21, 22:54 
Да ну, скучно же уже читать про очередную порцию малваря в нпм.

И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?

Ответить | Правка | Наверх | Cообщить модератору

3. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Аноним (3), 09-Дек-21, 23:05 
При тайпсквотинге никто и не предполагает, что кто-то будет на сайте эти пакеты смотреть. Расчёт на то, что при работе в командной строке или определяя зависимости кто-то опечатается. Судя по сотням загрузок подобные опечатки не редкость.
Ответить | Правка | Наверх | Cообщить модератору

4. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от fernandos (ok), 09-Дек-21, 23:13 
Так ССЗБ, ну как это: знать, что репозиторий наполняется *пользователями*, никаких гарантий того, что малваря нет, и всё равно так бездумно доверять.
Ответить | Правка | Наверх | Cообщить модератору

22. "В репозитории NPM выявлено 17 вредоносных пакетов"  +2 +/
Сообщение от Константавр (ok), 10-Дек-21, 07:27 
Для этого надо ещё и достоверно знать название настоящего пакета. А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик. Вообще, это и было изначальное зло, вывести пакеты из под контроля дистрибутива. Ведь вероятность проникновения сторонних пакетов в таком случае снижается почти до нуля.
Ответить | Правка | Наверх | Cообщить модератору

38. "В репозитории NPM выявлено 17 вредоносных пакетов"  –1 +/
Сообщение от fernandos (ok), 10-Дек-21, 12:05 
> А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик

Простите, но ведь это позор. Если у человека такое отношение к разработке, то что можно ожидать в остальных сферах жизни?

"Выберу соль свинца вместо поваренной, мне название больше нравится."

Ответить | Правка | Наверх | Cообщить модератору

42. "В репозитории NPM выявлено 17 вредоносных пакетов"  +5 +/
Сообщение от Аноним (42), 10-Дек-21, 14:55 
Вам бы этот свой элитизм поганый поумерить. Чай сами пользуетесь деньгами не умея в фондовые рынки, вступаете в правовые отношения не зная наизусть законов и катаетесь на машинах не умея перебрать двигатель. Это ли не позор? Или это другое?
Ответить | Правка | Наверх | Cообщить модератору

52. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Анонимный хомяк (?), 11-Дек-21, 07:24 
Не, не так! В магазине на одной полке стоит соль поваренная, соль свинца, сулема, диоцид, каломель и т.д.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

50. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Аноним (50), 10-Дек-21, 18:02 
Отдельно надо сказать спасибо некоторым авторам, которые дают одно название либе, а пакету другое
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

51. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Аноним (51), 11-Дек-21, 02:52 
>  Судя по сотням загрузок подобные опечатки не редкость.

На статистиску загрузок влияют боты. Для примера можно опубликовать совершенно никому не нужный модуль и по истечении некоторого времени у него тоже будут загрузки.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

27. "В репозитории NPM выявлено 17 вредоносных пакетов"  +2 +/
Сообщение от Аноним (27), 10-Дек-21, 09:27 
>И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?

Думаете nodejs используют разумные люди?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "В репозитории NPM выявлено 17 вредоносных пакетов"  +6 +/
Сообщение от Аноним (29), 10-Дек-21, 09:31 
Разумные люди используют инструменты, наиболее подходящие для своих задач, и не оглядываются на мнение ламера "Аноним (27)".
Ответить | Правка | Наверх | Cообщить модератору

30. "В репозитории NPM выявлено 17 вредоносных пакетов"  –6 +/
Сообщение от Аноним (27), 10-Дек-21, 09:57 
Это не инструмент, а игрушка для детей.
Ответить | Правка | Наверх | Cообщить модератору

31. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Аноним (29), 10-Дек-21, 10:15 
И игрушка, и инструмент, и для детей, и для взрослых. Времена, когда с ЭВМ могли работать только ученые, остались в середине прошлого века. Тот факт, что тебя допустили до интернета, это наглядно показывает.
Ответить | Правка | Наверх | Cообщить модератору

39. "В репозитории NPM выявлено 17 вредоносных пакетов"  –1 +/
Сообщение от fernandos (ok), 10-Дек-21, 12:07 
Да хватит уже, там под капотом В8 --- гениальный движок.

То, что дети играются с нодой, не делает её игрушкой для детей.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

40. "В репозитории NPM выявлено 17 вредоносных пакетов"  +2 +/
Сообщение от Аноним (-), 10-Дек-21, 13:36 
>там под капотом В8 --- гениальный движок.

Видимо поэтому популярность nodejs резко упала с 50% до 30%.
Похоже недостатки перевесили возможность нанима ть низкоквалифицированных мартышек.

Ответить | Правка | Наверх | Cообщить модератору

48. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от пох. (?), 10-Дек-21, 16:30 
Ага, а потом - "а чего это у тебя одного глаза нет? - А болгаркой выбило!" - использовал инструмент, наиболее подходящий для своих задач. Не оглядываясь. Ну и подумаешь, глазик...
Есть же еще второй, для другого инструмента.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

37. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от fernandos (ok), 10-Дек-21, 12:04 
Думаю, что подобные обобщения крайне глупы.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

2. "В репозитории NPM выявлено 17 вредоносных пакетов"  +4 +/
Сообщение от Rev (?), 09-Дек-21, 23:05 
> В репозитории NPM выявлено 17 вредоносных пакетов

Не удивили.

Ответить | Правка | Наверх | Cообщить модератору

5. "В репозитории NPM выявлено 17 вредоносных пакетов"  +6 +/
Сообщение от Аноним (5), 09-Дек-21, 23:26 
Да вы что? Не может быть.

p.s. вредоносные пакеты это весь npm

Ответить | Правка | Наверх | Cообщить модератору

6. "В репозитории NPM выявлено 17 вредоносных пакетов"  +6 +/
Сообщение от Аноним (6), 09-Дек-21, 23:34 
а почему эта новость до сих пор не в cron?
Ответить | Правка | Наверх | Cообщить модератору

12. "В репозитории NPM выявлено 17 вредоносных пакетов"  +3 +/
Сообщение от Аноним (12), 10-Дек-21, 01:46 
> не в cron?

*/10 *    * * *    user    espeak -vru -s 60 "В репозитории NPM выявлены вредоносные пакеты"

Ответить | Правка | Наверх | Cообщить модератору

53. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от InuYasha (??), 11-Дек-21, 20:06 
Надо достоверно! Типа bash $(curl google?q="command how to download NPM repo") && scan . | wc -l >> newmalwarez.txt
и в telecram-cli post OpenNet << "В репозитории NPM выявлено %d вредоносных пакетов" :D
или лучше rsync npm-mirror.yandex.fu virustotal.com >> i_loled.log

PS: +1 за espeak )

Ответить | Правка | Наверх | Cообщить модератору

7. "В репозитории NPM выявлено 17 вредоносных пакетов"  –3 +/
Сообщение от Аноним (7), 10-Дек-21, 00:10 
Надо вводить понятие вредоустойчивости зависимых библиотек с избыточностью. Так любые зависимости должны основываться на на минимум трех различных библиотеках имеющих идентичную функциональность. И быть написаны разработчиками принадлежащим разным этноконфессиональнорассовым группам для уменьшения рисков одновременного завреднения. Все библиотеки должны использоваться одновременно, но достоверным признавать только результат отдаваемый большинством. В случае если библиотека три раза вернула недостоверный результат, то исключать её из проекта и вместо неё подключать горячую замену (HOT FORK).
Ответить | Правка | Наверх | Cообщить модератору

8. "В репозитории NPM выявлено 17 вредоносных пакетов"  +5 +/
Сообщение от Аноним (8), 10-Дек-21, 00:44 
Или забить на npm
Ответить | Правка | Наверх | Cообщить модератору

9. "В репозитории NPM выявлено 17 вредоносных пакетов"  –1 +/
Сообщение от мимоомыч (?), 10-Дек-21, 01:18 
Этот анон хоть и омыч, но здравое зерно в его словах есть.
inb4 тоже омыч
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "В репозитории NPM выявлено 17 вредоносных пакетов"  +2 +/
Сообщение от виндотролль (ok), 10-Дек-21, 01:26 
так результат будет таким же. Вредоносная библиотека будет обладать сайдэффектами.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "В репозитории NPM выявлено 17 вредоносных пакетов"  +1 +/
Сообщение от Аноним (12), 10-Дек-21, 01:34 
> В репозитории NPM выявлено 17 вредоносных пакетов

Fix: В репозитории вредоносных пакетов...

Ответить | Правка | Наверх | Cообщить модератору

18. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Аноним (18), 10-Дек-21, 04:11 
Что не так с NPM?
Ответить | Правка | Наверх | Cообщить модератору

20. "В репозитории NPM выявлено 17 вредоносных пакетов"  –1 +/
Сообщение от Аноним (12), 10-Дек-21, 06:06 
В нём выявлено 17 вредоносных пакетов
Ответить | Правка | Наверх | Cообщить модератору

14. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от псевдонимус (?), 10-Дек-21, 03:03 
Увидел, схватил, потащил. Сороки-воровки.
Ответить | Правка | Наверх | Cообщить модератору

15. "В репозитории NPM выявлено 17 вредоносных пакетов"  +5 +/
Сообщение от псевдонимус (?), 10-Дек-21, 03:04 
Опять в паразитарии с вредоносными пакетами обнаружили вредоносные пакеты..
Ответить | Правка | Наверх | Cообщить модератору

17. "В репозитории NPM выявлено 17 вредоносных пакетов"  +1 +/
Сообщение от Аноним (17), 10-Дек-21, 03:37 
Чет мало, всего лишь 17. Раньше и по 70 накрывали за раз, нет?
Ответить | Правка | Наверх | Cообщить модератору

21. "В репозитории NPM выявлено 17 вредоносных пакетов"  +1 +/
Сообщение от Аноним (12), 10-Дек-21, 06:07 
Маскироваться стали лучше.
Ответить | Правка | Наверх | Cообщить модератору

19. "В репозитории NPM выявлено 17 вредоносных пакетов"  –1 +/
Сообщение от BratishkaErik (ok), 10-Дек-21, 04:55 
Сегодня в Log4J уязвимость нашли https://www.lunasec.io/docs/blog/log4j-zero-day/

Новость сделаю потом, щас я хочу узнать как свой сервер обезопасить

Ответить | Правка | Наверх | Cообщить модератору

34. "В репозитории NPM выявлено 17 вредоносных пакетов"  +1 +/
Сообщение от Онаним (?), 10-Дек-21, 11:44 
Выключить из розетки.
Ответить | Правка | Наверх | Cообщить модератору

25. "В репозитории NPM выявлено 17 вредоносных пакетов"  –2 +/
Сообщение от СССР (?), 10-Дек-21, 08:57 
вот еще один пример популярности яп, т.е. что значит выражение "популярный язык" ? а то и значит что и телефон, с камерой 43 мегапикселя. и стал я замечать что в инсте то и посмотреть толком нечего, безвкуситца, просто заработанное бабло на бессмысленном трафике, показанной рекламе. В противовес встречаются профили где фото сняты на светосильную оптику, а так же на дешовые мобильники но восхищает постановка кадра, постобработка, чувствуется характер. Вот и популяризация тех или иных языков программирования, не увеличивает колличество достойного софта, как и программистов.
Ответить | Правка | Наверх | Cообщить модератору

26. "В репозитории NPM выявлено 17 вредоносных пакетов"  +1 +/
Сообщение от Аноним (26), 10-Дек-21, 09:16 
>В репозитории NPM выявлено 17 вредоносных пакетов

Ничего нового. Было бы очень удивительно, если бы их там не было.

Ответить | Правка | Наверх | Cообщить модератору

32. "В репозитории NPM выявлено 17 вредоносных пакетов"  +2 +/
Сообщение от Аноним (32), 10-Дек-21, 11:36 
Когда в репозитории NPM количество вредоносных превысит количество полезных?
Ответить | Правка | Наверх | Cообщить модератору

33. "В репозитории NPM выявлено 17 вредоносных пакетов"  +3 +/
Сообщение от Онаним (?), 10-Дек-21, 11:43 
Да блин, на помойке выявлена тухлятина.
Сюрприз! Сенсация! Невероятно!
Ответить | Правка | Наверх | Cообщить модератору

41. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от ELF (ok), 10-Дек-21, 14:19 
Ключевые слова: nmp
это в тему?
Ответить | Правка | Наверх | Cообщить модератору

49. "В репозитории NPM выявлено 17 вредоносных пакетов"  +/
Сообщение от Аноним (49), 10-Дек-21, 16:52 
[N]oxious

ackage [M]anager (c)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру