Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Самораспространяющийся червь поразил 187 пакетов в NPM"	+/–
Сообщение от opennews (??), 17-Сен-25, 09:27
Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации  NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63894
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Сен-25, 09:27	+11 +/–
> червь поразил 187 пакетов в NPM Не может быть! Никогда такого не было!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #18

2. Сообщение от Аноним (-), 17-Сен-25, 09:47	–3 +/–
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages. Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

3. Сообщение от Аноним (3), 17-Сен-25, 09:56	+1 +/–
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимости Невероятно
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от ptr (ok), 17-Сен-25, 09:59	+7 +/–
> червь поразил Как раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе. > total of 3,583,991 packages Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

6. Сообщение от Аноним (6), 17-Сен-25, 10:04	+4 +/–
Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 17-Сен-25, 10:05	+1 +/–
Автоматизацию теперь червем называют?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

10. Сообщение от freehck (ok), 17-Сен-25, 10:13	+/–
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog. Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 17-Сен-25, 10:13	+5 +/–
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз. Появление червя был лишь вопросом времени.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

12. Сообщение от Жироватт (ok), 17-Сен-25, 10:14	+2 +/–
И вот опять! Но на этот раз не криптостиллер и не майнер - уже что-то новое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

13. Сообщение от 12yoexpert (ok), 17-Сен-25, 10:42	+1 +/–
красивое
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от пох. (?), 17-Сен-25, 11:11	+/–
Ага, а говорили - "язык плохой"!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #29

15. Сообщение от Аноним (15), 17-Сен-25, 11:13	+/–
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

16. Сообщение от SKZ (?), 17-Сен-25, 11:32	+/–
А хоть в жабаскрипт что-нибудь компилирует?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

18. Сообщение от Аноним (18), 17-Сен-25, 11:52	+2 +/–
Дежурная шутка. Уже не смешно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #26, #30

19. Сообщение от Аноним (19), 17-Сен-25, 11:55	+2 +/–
Автоматизация распространения вредоноса - да. пс: очередной неруззкий чебурашка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

20. Сообщение от Аноним (24), 17-Сен-25, 11:55	+1 +/–
Как опять? Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (24), 17-Сен-25, 11:56	+/–
Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

23. Сообщение от Аноним (27), 17-Сен-25, 11:59	+/–
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов. Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #33

24. Сообщение от Аноним (24), 17-Сен-25, 12:00	+/–
А как они выявляют заражение? Сканируют каждый раз вручную весь репозитарий антивирусом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

25. Сообщение от Аноним (24), 17-Сен-25, 12:03	+/–
>которые способен обнаружить сканер TruffleHog Не пора ли объявить указанный пакет зловредом в их репозитарии? Или будут продолжать жрать кактус и выкапывать стюардессу...
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 17-Сен-25, 12:05	–1 +/–
> Дежурная шутка. Уже не смешно. Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

27. Сообщение от Аноним (27), 17-Сен-25, 12:08	+/–
А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

28. Сообщение от Веб разработчик (?), 17-Сен-25, 12:09	+/–
А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

29. Сообщение от Аноним (29), 17-Сен-25, 12:10	+1 +/–
Прямо с языка сорвал. Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #34

30. Сообщение от Жироватт (ok), 17-Сен-25, 12:13	+1 +/–
Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от Аноним (31), 17-Сен-25, 12:18	+1 +/–
Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #35

32. Сообщение от SKZ (?), 17-Сен-25, 12:28	+2 +/–
NPM и всре жабаскриптовое болото - это сам по себе червь, пожирающий тонны ресурсов по всему миру.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

33. Сообщение от Карлос Сношайтилис (ok), 17-Сен-25, 12:36	+/–
> задуматься от отказа от подобных моделей растпространения пакетов Проблема не в модели, а в отсутствии изоляции. Большинство разработчиков не используют локально контейнеры и при запуске пакетов, и те могут делать с локальной фс что захотят. Это не просто дырочка в безопасности, это целый портал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

34. Сообщение от Аноним (34), 17-Сен-25, 12:38	+/–
Но ведь, есть ещё более мощный язык! Представляете, что будет в crates.io?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

35. Сообщение от Аноним (34), 17-Сен-25, 12:39    Скрыто ботом-модератором	+/–
Но а где взять на замену столько прокладок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

36. Сообщение от Ценитель GPL рогаликов (?), 17-Сен-25, 12:47	+/–
Чуть ли не каждую неделю какие проблемы с безопасностью в NPM репах. Складывается впечатление, что какие-то спецслужбы учатся взламывать и заражать GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Соль земли2 (?), 17-Сен-25, 12:49	+/–
Особенно бесит, что нельзя переместить node_modules. Костыли не предлагать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

38. Сообщение от Фейд Раус (?), 17-Сен-25, 13:14    Скрыто ботом-модератором	+/–
В курятнике вечно какие-то сареки, шаи-хулуды бродят. Не птицеферма, а проходной двор.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема