Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"	+/–
Сообщение от opennews (??), 31-Мрт-26, 22:44
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски  Axios  1.14.1 и 0.30.4 через подстановку  фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов  -  с 03:21 по 6:15 (MSK)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65109
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+1 +/–
Сообщение от Аноним (2), 31-Мрт-26, 22:44
Во черт! Надеюсь я npm install позже писал.
Ответить | Правка | Наверх | Cообщить модератору

3. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+5 +/–
Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44
Хорошая новость. Нужно больше лефтпадов в крейтах.
Ответить | Правка | Наверх | Cообщить модератору

7. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+2 +/–
Сообщение от Аноним (7), 31-Мрт-26, 23:14
Кучно пошли, к дождю...
Ответить | Правка | Наверх | Cообщить модератору

9. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+3 +/–
Сообщение от Анрним (?), 31-Мрт-26, 23:25
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.
Ответить | Правка | Наверх | Cообщить модератору

10. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
Сообщение от Аноним (10), 31-Мрт-26, 23:44
> Как именно был перехвачен токен доступа не уточняется. Да известно как это делается. Либо через почту, либо через GitHub Actions.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+5 +/–
	Сообщение от Аноним (13), 01-Апр-26, 00:32
	Неужели не из-за ошибок памяти си?
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Аноним (2), 01-Апр-26, 03:44
	Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.
	Ответить | Правка | Наверх | Cообщить модератору

12. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+6 +/–
Сообщение от q (ok), 01-Апр-26, 00:11
axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."
Ответить | Правка | Наверх | Cообщить модератору

	14. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	–6 +/–
	Сообщение от Аноним (14), 01-Апр-26, 00:33
	А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+4 +/–
	Сообщение от q (ok), 01-Апр-26, 02:08
	Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+1 +/–
	Сообщение от Аноним (2), 01-Апр-26, 03:49
	Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+2 +/–
	Сообщение от Аноним (29), 01-Апр-26, 07:20
	ога, по клаве бьешь do this ticket don't make any mistakes и потом просишь закомммтить и задеплоитьб и все это даже не приходя в сознание
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от анон (?), 01-Апр-26, 10:47
	>те, кто ставят все пакеты подряд а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	28. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Аноним (28), 01-Апр-26, 07:20
	Unix принципы? В JS и фронте?? Чего?))
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	42. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от q (ok), 01-Апр-26, 13:32
	Сразу видно гуманитария, который считает, что UNIX существует в изоляции от вселенной, и что принципы UNIX не применимы абсолютно нигде, кроме самого UNIX. Ну загугли тогда single-responsibility principle, что ли, если по-английски бо-бо, и если есть выход в нормальный интернет.
	Ответить | Правка | Наверх | Cообщить модератору

15. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
Сообщение от Аноним (15), 01-Апр-26, 01:24
Как хорошо что я всю эту js бяку запускаю в докере)
Ответить | Правка | Наверх | Cообщить модератору

	16. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+3 +/–
	Сообщение от Аноним (16), 01-Апр-26, 01:41
	Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.
	Ответить | Правка | Наверх | Cообщить модератору

18. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16
раз в неделю одно и тоже: что питон, что жс, что раст
Ответить | Правка | Наверх | Cообщить модератору

	25. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	–1 +/–
	Сообщение от Аноним (2), 01-Апр-26, 04:47
	Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	–1 +/–
	Сообщение от Аноним (-), 01-Апр-26, 04:54
	> что раст Мимо. В случаях с crates.io был только тайпсквоттинг.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	32. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27
	говори себе это почаще
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Аноним (41), 01-Апр-26, 13:11
	А зачем себе что-то говорить, если врешь ты? Ты это знаешь, все это знают. Чего тут говорить) Вопрос исключительно к твоей совести)
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Аноним (44), 01-Апр-26, 14:28
	"вы не понимаете, это другое"
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Аноним (47), 01-Апр-26, 17:20
	Тебе в школе экспертов не рассказали об отличиях между компрометацией популярного пакета и тайпсквоттингом? Давай я объясню тебе на пальце. В первом случае к тебе сзади подходит чёрный властелин и начинает тебя любить. Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу?
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+1 +/–
	Сообщение от Аноним (51), 02-Апр-26, 15:27
	> Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу? Немного не так. Издалека показывают палец и ждут, когда ты сам подойдёшь, а далее к тебе сзади подходит чёрный властелин и начинает тебя любить.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	–1 +/–
	Сообщение от Аноним (14), 01-Апр-26, 10:11
	Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	35. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от пох. (?), 01-Апр-26, 10:22
	патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает. Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от 12yoexpert (ok), 02-Апр-26, 22:36
	> Мимо. В случаях с crates.io был только тайпсквоттинг. ты можешь называть своё порванное очко как тебе заблагорассудится
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	37. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	–2 +/–
	Сообщение от Аноним (37), 01-Апр-26, 10:47
	Зато на Си каждый день по эксплойту, вот к чему надо стремиться!
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	38. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	–1 +/–
	Сообщение от Соль земли2 (?), 01-Апр-26, 12:20
	Если в коде больше дыр, то он быстрее работает.
	Ответить | Правка | Наверх | Cообщить модератору

43. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+1 +/–
Сообщение от Аноним (43), 01-Апр-26, 13:41
Это будет продолжаться пока хранилища пакетов не перейдут на блокчейн и мультиподпись.
Ответить | Правка | Наверх | Cообщить модератору

	45. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от menangen (?), 01-Апр-26, 15:26
	Просто релизы продуктов должны всегда подписываться двумя верифицированными ключами разработчика - один для коммитов, второй для релиза уже ввиде tar.gzip.sha256 и загрузки его в npm хранилище Да и вообще, подписывать каждый коммит в репе это не проблема в наше то непростое время
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+1 +/–
	Сообщение от Аноним (46), 01-Апр-26, 15:29
	будут точно также терять приватные ключи, как сейчас апи-ключи от npm.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	48. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Макан Негодяй (?), 01-Апр-26, 17:57
	Будут, но реже.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+/–
	Сообщение от Рот postinstall ваших пакетных менеджеров (?), 02-Апр-26, 15:01
	Это никак не поможет, потому что проблема не там. Проблема в дизайне npm. Или точнее в дизайне пакетных менеджеров. Или еще точнее в дизайне головы любителей пакетных менеджеров. Поможет вот что: 1. Никаких pre и post-install скриптов в пакетном менеджере, вообще. И никаких автоматических вызовов скриптов. Юзерам надо - пусть руками вызывают, это редкие кейсы. В npm pre и post-instal по дефолту включены. 2. Строгие версии зависимостей по дефолту. Сейчас по дефолту пакеты пихаются в зависимости с версиями типа ^4.0 и потом кто0то пихает пакет с версией 4.0.1 с вредоносом. И он автоматом скачивается у всех, кто жестко версию не зафиксировал. А еще лучше вообще никаких нестрогих версий зависимостей в менеджере. 3. Никаких вложеных зависимостей. Конечный проект может иметь зависимости, либа - нет. Хочешь пихнуть зависимость в либу, пиши в ридми и пусть юзеры руками ставят. Как например на сях, есть libzip ей нужна в зависимости libz, и ты руками кладешь в проект обе. 4. Доступ к fs и инету в ноде по разрешению. Хочешь читать файлы? Ключик в консоль с нужной папкой сначала. Хочешь лезть в инет? Ключик в консоль с нужным ip или доменом сначала. Это на сях чтобы трояном файлы читать, сначала надо инклудить и компилять, а чтобы в сеть лезть, пару дней разбираться с сетевым стеком конкретной ситемы. А на на js с нодой fetch и readFile в блокноте пишешь и оно работает везде сразу. Иначе будет как сейчас, 99% проектов зависят от дерева из тыщи зависмостей, в этой куче у всех есть пара десятков либ из одной строчки, прописанных как ^1.0. В ОДНУ из них пихают post-install скрипт с трояном, повышают версию до 1.0.1 - троян раскатался на всех юзеров npm. Те кто скажет, что это все будет неудобно, запомните, вы платите за УДОБСТВО своей ЖОПОЙ.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

49. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..."	+1 +/–
Сообщение от Рот postinstall ваших пакетных менеджеров (?), 02-Апр-26, 13:38
>активировался после завершения установки NPM-пакета через обработчик postinstall Pre-install, post-install, автоматические и вложенные зависимости это одна сплошная дыра и одно из худших технических решений за всю историю. А в линуксах это все говно еще и от рута запускается
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема