Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь"	+/–
Сообщение от opennews (ok), 12-Май-26, 23:29
В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65432
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Rev (ok), 12-Май-26, 23:29	+7 +/–
Какая замечательная и безопасная экосистема у JS-ников!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11, #18

2. Сообщение от Аноним (2), 12-Май-26, 23:29	+3 +/–
Это божественно!
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 12-Май-26, 23:37	+/–
Ну что начинаем собрание экспертов: кого-то взломали, тут явно виноват джаваскрипт, надо было безопасный раст юзать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #8, #12

4. Сообщение от S404 (?), 12-Май-26, 23:41	+/–
100% виноват Micro$oft, они ведь владеют npm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 12-Май-26, 23:42	+/–
Что делать ? Общий сбор!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от S404 (?), 12-Май-26, 23:44    Скрыто ботом-модератором	+1 +/–
Действовать наперёд, сразу удалить французкий "rm -fr ~/"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от anonymous (??), 12-Май-26, 23:46	–1 +/–
у каждого разработчика должна быть настроена firejail.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Аноним83 (?), 13-Май-26, 00:06	–2 +/–
Такое ощущение что в остальных экосистемах в разляпистыми репозиториями ни чуть не лучше, просто року до них у кого то не дошли. Те ничего не мешает в любой лефтпад и/или его сборочные скрипты вставить запуск любого кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от НектоОткудаТо (?), 13-Май-26, 00:06	+1 +/–
Плата за использование бесплатных публичных сервисов. Жаловаться в таких случаях пострадавшие могут только на себя. Без злорадства всякого пишу, но и без сожаления.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #16

11. Сообщение от Джон Титор (ok), 13-Май-26, 00:39    Скрыто ботом-модератором	–1 +/–
Это у Майкрософта - они что на GitHub часто какую-то хрень творят, что порой в npm. Зайдите на биллинг и увидите что со следующего месяца стоит ожидать новостей о последующей монетизации GitHub. Они как-раз в последнее время с экшенами там колдовали. Теперь начисляют вам счёт и прощают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Джон Титор (ok), 13-Май-26, 00:41    Скрыто ботом-модератором	–1 +/–
Я использовал TanStack
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от Джон Титор (ok), 13-Май-26, 00:53    Скрыто ботом-модератором	+/–
> Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem. Ну кто ж скажет что виноваты рукожопые программисты из Майкрософт и их менеджеры? Кто ж не так давно вместо давно хорошо настроенной системы добавил какие-то Rules вместо Branches? Тем более рукожопо написав что ваша главная ветка теперь не защищена, туда можно комитить кому угодно если не настроите. А значит и внутри много чего поменяли. Вот боком и вылезло. Главное поспешить, занять рынок. А виноват кто настраивал.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (-), 13-Май-26, 01:08    Скрыто ботом-модератором	+2 +/–
> Без злорадства всякого пишу тут так не принято
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (15), 13-Май-26, 01:19	+/–
Сиськина опять замели под ковёр. Ща и меня отправят на скамейку пузанов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

16. Сообщение от Джон Титор (ok), 13-Май-26, 01:22    Скрыто ботом-модератором	+/–
Если они начнут брать плату за открытый код, то люди просто уйдут и массово. Они то конечно это будут делать потихоньку и тем не менее кого-то потеряют. Кстати а как там с артефактами у gitflic? Есть аналог npm?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

17. Сообщение от Джон Титор (ok), 13-Май-26, 01:25    Скрыто ботом-модератором	+/–
Была дама Сиськина и она очень хотела выйти замуж чтобы побыстрее сменить фамилию. Так и произошло, стала Писькина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от kai3341 (ok), 13-Май-26, 01:27	+/–
> Какая замечательная и безопасная экосистема у JS-ников! Иногда лучше жевать, чем говорить. Атака стара как мир. Принципиально уязвимы __все__ пакетные менеджеры, где есть возможность исполнить произвольный код. Ирония в том, что сборка сишных экстеншнов является таким кодом, поэтому постинсталл хуки это жизненная необходимость. Бинпакеты публикуются очень не под все рахитектуры и тем более не под все ОС
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема