Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски"	+/–
Сообщение от opennews (ok), 10-Сен-25, 08:44
История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг   учётных данных  сопровождающего NPM-пакеты  проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63854
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Жироватт (ok), 10-Сен-25, 08:44	+4 +/–
Шо, опять? Никогда ж такого не было - и вот опять. А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #17

2. Сообщение от Аноним (2), 10-Сен-25, 08:56	+/–
А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5, #6

3. Сообщение от 63506 (?), 10-Сен-25, 09:26    Скрыто ботом-модератором	+1 +/–
Да-уж, неделька ужасов для хипстеров идет. Ждем продолжения банкета на соседних зумерских площадках.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Diozan (ok), 10-Сен-25, 09:28	+4 +/–
Взломанная СУБД - это уже не просто СУБД и не только СУБД....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от 1 (??), 10-Сен-25, 09:29	+1 +/–
Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (6), 10-Сен-25, 09:44	+/–
Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от localhostadmin (ok), 10-Сен-25, 09:51	+1 +/–
Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #9, #20

8. Сообщение от пох. (?), 10-Сен-25, 10:06	+/–
да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может. Это тебе не нескучный js.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Аноним (9), 10-Сен-25, 10:14	+1 +/–
Юные хакеры просто не смогли написать код, на который боров не жалуется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Аноним (10), 10-Сен-25, 10:31	+/–
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся. На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #23

11. Сообщение от Аноним (11), 10-Сен-25, 11:29	+/–
А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

12. Сообщение от Аноним (12), 10-Сен-25, 11:52	+1 +/–
Ну айпишник очередной ВЧ и что дальше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Аноним (13), 10-Сен-25, 13:13	+/–
пора антивирус для JS делать)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

14. Сообщение от Аноним (2), 10-Сен-25, 13:49	+/–
дальше звоним Бибе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Tron is Whistling (?), 10-Сен-25, 14:16	+1 +/–
rm -rf сойдёт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от Аноним (16), 10-Сен-25, 15:12	+1 +/–
И опять NPM... Может, пора что-то делать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #21

17. Сообщение от Rev (ok), 10-Сен-25, 15:27	–1 +/–
> А, между прочим, карго так активно еще не ломали... Потому, что порог входа сильно выше, чем в JS. На расте пишут самые умные, их сложнее обмануть и выудить учётные данные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19

18. Сообщение от AleksK (ok), 10-Сен-25, 16:00	+/–
Микрософт как царь Мидас. Только тот все превращал в золото, а Микрософт все превращает в г**но. Даже винда, в тестах на 15% медленнее убунту оказалась.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

19. Сообщение от Аноним (19), 10-Сен-25, 16:12	–1 +/–
Не. Что бы писать на расте умным быть не надо, в этом одно из его преимуществ. Он доступен всем. Чуть сложнее какой-нибудь Java. Дело не в том, что пишущие на расте - умные. Дело в том, что отказывающиеся на нём писать - не сильно умные. Другими словами, не надо много ума, что пользоваться смартфоном. Но надо много неума, что бы отказываться им пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от vvwvv (?), 10-Сен-25, 16:25	+/–
Особенно Rust "не нужен" таким компаниям как Google, Meta, Amazon, Microsoft и Cloudflare
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

21. Сообщение от Аноним (22), 10-Сен-25, 17:49	+1 +/–
А что ты сделаешь если разработчики идиоты и ведутся на фишинг? От этого ничего не спасёт. Изолировать компрометации тоже не получится - даже если пинить версии зависимостей их всё равно когда-нибудь придётся обновлять, а в момент когда ты их обновляешь ты можешь схватить скомпрометированную версию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от Аноним (22), 10-Сен-25, 17:49	+/–
А ничего что новость не про rust?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

23. Сообщение от Аноним (-), 10-Сен-25, 18:38	+/–
> Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся. > На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется. На вашем бы месте попил бы таблетки две недельки без перерыва, пока симптомы не ухудшились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #24

24. Сообщение от Аноним (24), 10-Сен-25, 20:33	+/–
Сами попейте таблетки: крупные поставщики API для инференса недавно обнаружили использование моделей в качестве атаки червём. После чего уже на GitHub в Actions сама MS обнаружили червяка. Но для такой тупой атаки (просмотр файловой системы текстов и вычленение всех полезных для эксплуатации credentials) крупные модели не нужны, достаточно очень мелкой модели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема