Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios"	+/–
Сообщение от opennews (?), 03-Апр-26, 09:13
Сопровождающий NPM-пакет axios, для которого на днях были выпущены вредоносные обновления, раскрыл подробности атаки, в результате которой атакующим удалось получить доступ к его компьютеру и всем учётных данным. Атака была  проведена с использованием типового метода социального инжиниринга, который ранее уже использовался для компрометации разработчиков криптокошельков и AI-платформ... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65134
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от 27778 (?), 03-Апр-26, 09:13	+2 +/–
Что сказать? Чел хотел "срубить" бабосиков (оказывается разрабы тоже кушать хотят, кто-бы мог подумать), потерял бдительность, ну и ему "прилетело". Суть сей басни такова, что разрабам нужно платить, чтобы у них не возникало потребности смотреть по сторонам, где-б капусту нашинковать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #21

2. Сообщение от Аноним (2), 03-Апр-26, 09:19	+2 +/–
Сколько свинью не корми… Другой бы остановился подумать, что за мусор ему предлагают скачать, но, видимо, не привыкать к рандомным блобам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #5

3. Сообщение от 27778 (?), 03-Апр-26, 09:20	–1 +/–
Свинья, не свинья, а чела 100 млн загрузок в неделю. А у тебя? Можешь не отвечать, вопрос риторический.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от 12yoexpert (ok), 03-Апр-26, 09:34	+5 +/–
всё же нужно делать скидку на то, что он пишет на жс, то есть мог в принципе ничего не знать о существовании троянов, вирусов и прочих таких технических диковинок ну и что ты хочешь от человека, который без задней мысли запускает у себя проприетарный софт вроде слака или наколеночных поделок майкрософт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10, #13

6. Сообщение от Bob (??), 03-Апр-26, 09:41	+3 +/–
>MS Teams. В ходе встречи возникли технические трудности, причиной которых назвали отсутствие необходимого дополнения на стороне сопровождающего А всю сию деятельность нельзя не с рабочей тачки проворачивать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11

7. Сообщение от 12yoexpert (ok), 03-Апр-26, 09:46	+1 +/–
это у тебя на заводе есть рабочая тачка, уважающие себя люди работают со своего железа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

8. Сообщение от Аноним (8), 03-Апр-26, 09:52	+1 +/–
Выдал себя за основателя какой известной компании? Прямо можно написать название компании? Там листинг огромный читать не хочу.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Джон Титор (ok), 03-Апр-26, 10:31	+/–
Я работаю на удалёнке последние годы и для этого взял отдельный рабочий ноутбук. Какие проблемы его взять? Тем более что у человека весьма много загрузок пакета в день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12, #19

10. Сообщение от Витюшка (?), 03-Апр-26, 10:33	+1 +/–
"Запускает у себя pip install"...или cargo install, или go install или...список можно продолжать. Где в этот момент выполняются скрипты из пакета...ой...так это же так делают 99.9999% разработчиков. А ему просто не повезло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от Аноним (-), 03-Апр-26, 10:34	+/–
С виртуалки... Особенно если QubesOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Витюшка (?), 03-Апр-26, 10:34	+/–
Можно. А зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

13. Сообщение от Джон Титор (ok), 03-Апр-26, 10:46	–1 +/–
Может проблема в том что работодатели несколько обнаглели и фактически каждый пытается что-то поставить на ваш ПК для отслеживания чем вы там занимаетесь или ещё чего? Даже в больших компаниях, в офисе, говоришь менеджеру что на софт ругается антивирус, а он что-то выдаст вроде это софт от заказчика, он сказал поставить, это ошибка антивируса - поставь в исключение, оно мешает работать. А потом слышим в новостях как одну или другую компанию взломали. А если на удалёнке, так после каждого нужно переустанавливать ОС потому что тот что-то ставил и потенциально это может быть вредоносным. А ещё желательно работать в изолированной сети. Я помню как-то работал над финтех проектом и мне такой Payoneer стучит и говорит что для прохождения тестового задания нужен ssh, подключение к удалённому ПК. Я говорю дайте настройки, а они - ты поставь наше программное обеспечение и админы все настроят. Я говорю что не могу так. Они расстроились. Так мы и не договорились. Потом я узнал что они где-то известные, а у меня на ПК тоже было ПО не меньше известное, правда я им не сказал причину отказа. Так может проблема в том что работодатели подобнаглели? И если не установишь что они просят - будешь без работы, значит без денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24

14. Сообщение от Джон Титор (ok), 03-Апр-26, 10:49	+1 +/–
Это для тех кто работает удаленно. Затем чтобы все ваши конфиденциальные данные оставались на домашних ПК.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 03-Апр-26, 11:14	+/–
Смотрел на ютубе (разблокированного с помощью бесплатного openwrt и zapret) ролик про то как несколько раз звиздец подкрадывался к интернету. Вобщем один парнишка сопровождал опенсорс проект, который брали все и микро-софт и морда-книга. Ну вобщем случилась беда - у парня сгорел дом, сгорел дотла. Ну от к корпоратам, типа помогите че нить с жильем решить. Они в ответ улыбку чеширского кота. Ну парень на нервах похреначил часть своей работы на гитхабе. И о чудо - микромягкие откатили ветку назад, а парня заблочили. Так что есть хотят все, но некоторые хотят очень много есть, чтоб другим не осталось.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #23

16. Сообщение от Аноним (16), 03-Апр-26, 11:17	+/–
Все централизованные репы типа npm, pypl, crates.io, pkg.go.dev нужно монетизировать, а деньги направлять на модерацию пакетов. Иначе мы все погибнем.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (8), 03-Апр-26, 11:25	+/–
У тебя установлен adblock и ютуб ты смотришь без рекламы. А авторы тоже кушать хотят. Так что и мы такие же, как корпорасты. Они не хотят тратить деньги, а мы время(ничего другого у нас нет).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от 12yoexpert (ok), 03-Апр-26, 11:33	+/–
если ты этот комп контролируешь - то никаких проблем а вот если тебе на работе выдали тормозной ноутбук (а они все тормозные) на ОС, которую ты не хочешь, и с софтом, который тебе не нужен или вредит, вот это проблема
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22

20. Сообщение от User (??), 03-Апр-26, 11:46	+1 +/–
А вот был бы у него АНТИВИРУС КАСПЕРСКОГО!
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Андрей (??), 03-Апр-26, 11:47	+/–
Машина для разработки и машина для сёрфинга должны быть разными "машинами".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

22. Сообщение от Джон Титор (ok), 03-Апр-26, 11:52    Скрыто ботом-модератором	+/–
Множество компаний проходят сертификацию ISO по контролю качества менеджмента и именно из-за регуляторных технологий и требований в разных стран или конечного пользователя они так и поступают. Ну по крайней мере некоторые так оправдываются. И тут не дело в том как вы пишете чуть выше что они вас уважают или нет. У них самих контракты такие что обязывают обеспечивать "качество" менеджмента. Качество в кавычках, т.к. я сам не в восторге когда так поступают. Но вот скажем же честно - у нас как у разработчиков есть только вариант отказаться с ними работать. Ведь если вы не согласны, с вами контракт разрывают. Или вы знаете лучше варианты как от этого отказаться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Джон Титор (ok), 03-Апр-26, 11:57    Скрыто ботом-модератором	+/–
> Вобщем один парнишка сопровождал опенсорс проект, который брали все и микро-софт и морда-книга. И заметим что они его не захотели нанять и не захотели его проект купить, не захотели купить его как НКО. Просто напомню что открытые проекты также являются программным продуктом который можно купить. Да и некоммерческие организации нынче тоже могут купить весьма богатые люди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Артемон (?), 03-Апр-26, 12:12	+/–
Во, во я для таких пайониров с некоторых пор сам сделал программулинку и отсылаю ее алаверды чтобы они ее установили, а я сам к ним подключился. И они сразу сливаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

25. Сообщение от Джон Титор (ok), 03-Апр-26, 12:25    Скрыто ботом-модератором	+/–
> Во, во я для таких пайониров с некоторых пор сам сделал программулинку > и отсылаю ее алаверды чтобы они ее установили, а я сам > к ним подключился. И они сразу сливаются. Дело не в портфолио. Сейчас социальная инженерия может работать и не так. Вот вам могут сказать о том что им нужно проверить подключение в вашей стране и качество подключения, т.к. у них есть требования к качеству подключения и вообще им бы хотелось понять, можно ли с вашей страны подключится к их серверам. Наивные люди могут в это поверить. Согласитесь - звучит правдоподобно. А если вы знаете что через месяц заканчивается проект, вы будете без работы и видите в соцсети поиска работы что с работой сейчас сложно - на вас это ещё и давит. Вот я задавался вопросом - правильно ли я тогда поступил? Потому что обстоятельства ещё могут давить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема