forum.opennet.ru - "В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь" (17)

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"	+/–
Сообщение от opennews (ok), 12-Май-26, 23:29
В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65432
Ответить \| Правка \| Cообщить модератору

Оглавление

Какая замечательная и безопасная экосистема у JS-ников , Rev (ok), 23:29 , 12-Май-26, (1) +7

у каждого разработчика должна быть настроена firejail , anonymous (??), 23:46 , 12-Май-26, (7) –1
Скрыто модератором, Джон Титор (ok), 00:39 , 13-Май-26, (11) –1
Иногда лучше жевать, чем говорить Атака стара как мир Принципиально уязвимы __, kai3341 (ok), 01:27 , 13-Май-26, (18)

Это божественно , Аноним (2), 23:29 , 12-Май-26, (2) +3
Ну что начинаем собрание экспертов кого-то взломали, тут явно виноват джаваскри, Аноним (3), 23:37 , 12-Май-26, (3)

100 виноват Micro oft, они ведь владеют npm, S404 (?), 23:41 , 12-Май-26, (4)
Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть , Аноним83 (?), 00:06 , 13-Май-26, (8) –2
Скрыто модератором, Джон Титор (ok), 00:41 , 13-Май-26, (12) –1

Что делать Общий сбор , Аноним (5), 23:42 , 12-Май-26, (5)

Скрыто модератором, S404 (?), 23:44 , 12-Май-26, (6) +1

Плата за использование бесплатных публичных сервисов Жаловаться в таких случаях , НектоОткудаТо (?), 00:06 , 13-Май-26, (9) +1

Скрыто модератором, Аноним (-), 01:08 , 13-Май-26, (14) +2
Скрыто модератором, Джон Титор (ok), 01:22 , 13-Май-26, (16)

Скрыто модератором, Джон Титор (ok), 00:53 , 13-Май-26, (13)
Сиськина опять замели под ковёр Ща и меня отправят на скамейку пузанов , Аноним (15), 01:19 , 13-Май-26, (15)

Скрыто модератором, Джон Титор (ok), 01:25 , 13-Май-26, (17)

Сообщения [Сортировка по времени | RSS]

1. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +7 +/–

Сообщение от Rev (ok), 12-Май-26, 23:29

Какая замечательная и безопасная экосистема у JS-ников!

Ответить | Правка | Наверх | Cообщить модератору

7. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." –1 +/–

Сообщение от anonymous (??), 12-Май-26, 23:46

у каждого разработчика должна быть настроена firejail.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором –1 +/–

Сообщение от Джон Титор (ok), 13-Май-26, 00:39

Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от kai3341 (ok), 13-Май-26, 01:27

> Какая замечательная и безопасная экосистема у JS-ников!
Иногда лучше жевать, чем говорить. Атака стара как мир. Принципиально уязвимы __все__ пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем более не под все ОС

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +3 +/–

Сообщение от Аноним (2), 12-Май-26, 23:29

Это божественно!

Ответить | Правка | Наверх | Cообщить модератору

3. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от Аноним (3), 12-Май-26, 23:37

Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.

Ответить | Правка | Наверх | Cообщить модератору

4. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от S404 (?), 12-Май-26, 23:41

100% виноват Micro$oft, они ведь владеют npm

Ответить | Правка | Наверх | Cообщить модератору

8. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." –2 +/–

Сообщение от Аноним83 (?), 13-Май-26, 00:06

Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли.
Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. Скрыто модератором –1 +/–

Сообщение от Джон Титор (ok), 13-Май-26, 00:41

Я использовал TanStack

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от Аноним (5), 12-Май-26, 23:42

Что делать ? Общий сбор!

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором +1 +/–

Сообщение от S404 (?), 12-Май-26, 23:44

Действовать наперёд, сразу удалить французкий "rm -fr ~/"

Ответить | Правка | Наверх | Cообщить модератору

9. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +1 +/–

Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06

Плата за использование бесплатных публичных сервисов.
Жаловаться в таких случаях пострадавшие могут только на себя.
Без злорадства всякого пишу, но и без сожаления.

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором +2 +/–

Сообщение от Аноним (-), 13-Май-26, 01:08

> Без злорадства всякого пишу
тут так не принято

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 13-Май-26, 01:22

Если они начнут брать плату за открытый код, то люди просто уйдут и массово. Они то конечно это будут делать потихоньку и тем не менее кого-то потеряют. Кстати а как там с артефактами у gitflic? Есть аналог npm?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 13-Май-26, 00:53

> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem.
Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.

Ответить | Правка | Наверх | Cообщить модератору

15. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..." +/–

Сообщение от Аноним (15), 13-Май-26, 01:19

Сиськина опять замели под ковёр. Ща и меня отправят на скамейку пузанов.

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 13-Май-26, 01:25

Была дама Сиськина и она очень хотела выйти замуж чтобы побыстрее сменить фамилию. Так и произошло, стала Писькина.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+7 +/–
Сообщение от Rev (ok), 12-Май-26, 23:29
Какая замечательная и безопасная экосистема у JS-ников!
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	–1 +/–
	Сообщение от anonymous (??), 12-Май-26, 23:46
	у каждого разработчика должна быть настроена firejail.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. Скрыто модератором	–1 +/–
	Сообщение от Джон Титор (ok), 13-Май-26, 00:39
	Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	18. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
	Сообщение от kai3341 (ok), 13-Май-26, 01:27
	> Какая замечательная и безопасная экосистема у JS-ников! Иногда лучше жевать, чем говорить. Атака стара как мир. Принципиально уязвимы __все__ пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем более не под все ОС
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+3 +/–
Сообщение от Аноним (2), 12-Май-26, 23:29
Это божественно!
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
Сообщение от Аноним (3), 12-Май-26, 23:37
Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
	Сообщение от S404 (?), 12-Май-26, 23:41
	100% виноват Micro$oft, они ведь владеют npm
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	–2 +/–
	Сообщение от Аноним83 (?), 13-Май-26, 00:06
	Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли. Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. Скрыто модератором	–1 +/–
	Сообщение от Джон Титор (ok), 13-Май-26, 00:41
	Я использовал TanStack
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

5. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
Сообщение от Аноним (5), 12-Май-26, 23:42
Что делать ? Общий сбор!
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. Скрыто модератором	+1 +/–
	Сообщение от S404 (?), 12-Май-26, 23:44
	Действовать наперёд, сразу удалить французкий "rm -fr ~/"
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+1 +/–
Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06
Плата за использование бесплатных публичных сервисов. Жаловаться в таких случаях пострадавшие могут только на себя. Без злорадства всякого пишу, но и без сожаления.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. Скрыто модератором	+2 +/–
	Сообщение от Аноним (-), 13-Май-26, 01:08
	> Без злорадства всякого пишу тут так не принято
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	+/–
	Сообщение от Джон Титор (ok), 13-Май-26, 01:22
	Если они начнут брать плату за открытый код, то люди просто уйдут и массово. Они то конечно это будут делать потихоньку и тем не менее кого-то потеряют. Кстати а как там с артефактами у gitflic? Есть аналог npm?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

13. Скрыто модератором	+/–
Сообщение от Джон Титор (ok), 13-Май-26, 00:53
> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem. Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.
Ответить \| Правка \| Наверх \| Cообщить модератору

15. "В 42 NPM-пакета TanStack интегрирован самораспространяющийся..."	+/–
Сообщение от Аноним (15), 13-Май-26, 01:19
Сиськина опять замели под ковёр. Ща и меня отправят на скамейку пузанов.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. Скрыто модератором	+/–
	Сообщение от Джон Титор (ok), 13-Май-26, 01:25
	Была дама Сиськина и она очень хотела выйти замуж чтобы побыстрее сменить фамилию. Так и произошло, стала Писькина.
	Ответить \| Правка \| Наверх \| Cообщить модератору