Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В репозитории NPM выявлено 17 вредоносных пакетов"	+/–
Сообщение от opennews (ok), 09-Дек-21, 22:54
В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56318
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от fernandos (ok), 09-Дек-21, 22:54	+11 +/–
Да ну, скучно же уже читать про очередную порцию малваря в нпм. И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #27

2. Сообщение от Rev (?), 09-Дек-21, 23:05	+4 +/–
> В репозитории NPM выявлено 17 вредоносных пакетов Не удивили.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 09-Дек-21, 23:05	+/–
При тайпсквотинге никто и не предполагает, что кто-то будет на сайте эти пакеты смотреть. Расчёт на то, что при работе в командной строке или определяя зависимости кто-то опечатается. Судя по сотням загрузок подобные опечатки не редкость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #51

4. Сообщение от fernandos (ok), 09-Дек-21, 23:13	+/–
Так ССЗБ, ну как это: знать, что репозиторий наполняется *пользователями*, никаких гарантий того, что малваря нет, и всё равно так бездумно доверять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

5. Сообщение от Аноним (5), 09-Дек-21, 23:26	+6 +/–
Да вы что? Не может быть. p.s. вредоносные пакеты это весь npm
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 09-Дек-21, 23:34	+6 +/–
а почему эта новость до сих пор не в cron?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

7. Сообщение от Аноним (7), 10-Дек-21, 00:10	–3 +/–
Надо вводить понятие вредоустойчивости зависимых библиотек с избыточностью. Так любые зависимости должны основываться на на минимум трех различных библиотеках имеющих идентичную функциональность. И быть написаны разработчиками принадлежащим разным этноконфессиональнорассовым группам для уменьшения рисков одновременного завреднения. Все библиотеки должны использоваться одновременно, но достоверным признавать только результат отдаваемый большинством. В случае если библиотека три раза вернула недостоверный результат, то исключать её из проекта и вместо неё подключать горячую замену (HOT FORK).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9, #10

8. Сообщение от Аноним (8), 10-Дек-21, 00:44	+5 +/–
Или забить на npm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от мимоомыч (?), 10-Дек-21, 01:18	–1 +/–
Этот анон хоть и омыч, но здравое зерно в его словах есть. inb4 тоже омыч
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от виндотролль (ok), 10-Дек-21, 01:26	+2 +/–
так результат будет таким же. Вредоносная библиотека будет обладать сайдэффектами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от Аноним (12), 10-Дек-21, 01:34	+1 +/–
> В репозитории NPM выявлено 17 вредоносных пакетов Fix: В репозитории вредоносных пакетов...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

12. Сообщение от Аноним (12), 10-Дек-21, 01:46	+3 +/–
> не в cron? */10 *    * * *    user    espeak -vru -s 60 "В репозитории NPM выявлены вредоносные пакеты"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #53

14. Сообщение от псевдонимус (?), 10-Дек-21, 03:03	+/–
Увидел, схватил, потащил. Сороки-воровки.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от псевдонимус (?), 10-Дек-21, 03:04	+5 +/–
Опять в паразитарии с вредоносными пакетами обнаружили вредоносные пакеты..
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 10-Дек-21, 03:37	+1 +/–
Чет мало, всего лишь 17. Раньше и по 70 накрывали за раз, нет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

18. Сообщение от Аноним (18), 10-Дек-21, 04:11	+/–
Что не так с NPM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

19. Сообщение от BratishkaErik (ok), 10-Дек-21, 04:55	–1 +/–
Сегодня в Log4J уязвимость нашли https://www.lunasec.io/docs/blog/log4j-zero-day/ Новость сделаю потом, щас я хочу узнать как свой сервер обезопасить
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

20. Сообщение от Аноним (12), 10-Дек-21, 06:06	–1 +/–
В нём выявлено 17 вредоносных пакетов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (12), 10-Дек-21, 06:07	+1 +/–
Маскироваться стали лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Константавр (ok), 10-Дек-21, 07:27	+2 +/–
Для этого надо ещё и достоверно знать название настоящего пакета. А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик. Вообще, это и было изначальное зло, вывести пакеты из под контроля дистрибутива. Ведь вероятность проникновения сторонних пакетов в таком случае снижается почти до нуля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #38, #50

25. Сообщение от СССР (?), 10-Дек-21, 08:57	–2 +/–
вот еще один пример популярности яп, т.е. что значит выражение "популярный язык" ? а то и значит что и телефон, с камерой 43 мегапикселя. и стал я замечать что в инсте то и посмотреть толком нечего, безвкуситца, просто заработанное бабло на бессмысленном трафике, показанной рекламе. В противовес встречаются профили где фото сняты на светосильную оптику, а так же на дешовые мобильники но восхищает постановка кадра, постобработка, чувствуется характер. Вот и популяризация тех или иных языков программирования, не увеличивает колличество достойного софта, как и программистов.
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 10-Дек-21, 09:16	+1 +/–
>В репозитории NPM выявлено 17 вредоносных пакетов Ничего нового. Было бы очень удивительно, если бы их там не было.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (27), 10-Дек-21, 09:27	+2 +/–
>И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю? Думаете nodejs используют разумные люди?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29, #37

29. Сообщение от Аноним (29), 10-Дек-21, 09:31	+6 +/–
Разумные люди используют инструменты, наиболее подходящие для своих задач, и не оглядываются на мнение ламера "Аноним (27)".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #30, #48

30. Сообщение от Аноним (27), 10-Дек-21, 09:57	–6 +/–
Это не инструмент, а игрушка для детей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #31, #39

31. Сообщение от Аноним (29), 10-Дек-21, 10:15	+/–
И игрушка, и инструмент, и для детей, и для взрослых. Времена, когда с ЭВМ могли работать только ученые, остались в середине прошлого века. Тот факт, что тебя допустили до интернета, это наглядно показывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (32), 10-Дек-21, 11:36	+2 +/–
Когда в репозитории NPM количество вредоносных превысит количество полезных?
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Онаним (?), 10-Дек-21, 11:43	+3 +/–
Да блин, на помойке выявлена тухлятина. Сюрприз! Сенсация! Невероятно!
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Онаним (?), 10-Дек-21, 11:44	+1 +/–
Выключить из розетки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

37. Сообщение от fernandos (ok), 10-Дек-21, 12:04	+/–
Думаю, что подобные обобщения крайне глупы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

38. Сообщение от fernandos (ok), 10-Дек-21, 12:05	–1 +/–
> А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик Простите, но ведь это позор. Если у человека такое отношение к разработке, то что можно ожидать в остальных сферах жизни? "Выберу соль свинца вместо поваренной, мне название больше нравится."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #42, #52

39. Сообщение от fernandos (ok), 10-Дек-21, 12:07	–1 +/–
Да хватит уже, там под капотом В8 --- гениальный движок. То, что дети играются с нодой, не делает её игрушкой для детей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40

40. Сообщение от Аноним (-), 10-Дек-21, 13:36	+2 +/–
>там под капотом В8 --- гениальный движок. Видимо поэтому популярность nodejs резко упала с 50% до 30%. Похоже недостатки перевесили возможность нанима ть низкоквалифицированных мартышек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от ELF (ok), 10-Дек-21, 14:19	+/–
Ключевые слова: nmp это в тему?
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (42), 10-Дек-21, 14:55	+5 +/–
Вам бы этот свой элитизм поганый поумерить. Чай сами пользуетесь деньгами не умея в фондовые рынки, вступаете в правовые отношения не зная наизусть законов и катаетесь на машинах не умея перебрать двигатель. Это ли не позор? Или это другое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

48. Сообщение от пох. (?), 10-Дек-21, 16:30	+/–
Ага, а потом - "а чего это у тебя одного глаза нет? - А болгаркой выбило!" - использовал инструмент, наиболее подходящий для своих задач. Не оглядываясь. Ну и подумаешь, глазик... Есть же еще второй, для другого инструмента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

49. Сообщение от Аноним (49), 10-Дек-21, 16:52	+/–
[N]oxious ackage [M]anager (c)
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 10-Дек-21, 18:02	+/–
Отдельно надо сказать спасибо некоторым авторам, которые дают одно название либе, а пакету другое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

51. Сообщение от Аноним (51), 11-Дек-21, 02:52	+/–
>  Судя по сотням загрузок подобные опечатки не редкость. На статистиску загрузок влияют боты. Для примера можно опубликовать совершенно никому не нужный модуль и по истечении некоторого времени у него тоже будут загрузки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

52. Сообщение от Анонимный хомяк (?), 11-Дек-21, 07:24	+/–
Не, не так! В магазине на одной полке стоит соль поваренная, соль свинца, сулема, диоцид, каломель и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

53. Сообщение от InuYasha (??), 11-Дек-21, 20:06	+/–
Надо достоверно! Типа bash $(curl google?q="command how to download NPM repo") && scan . | wc -l >> newmalwarez.txt и в telecram-cli post OpenNet << "В репозитории NPM выявлено %d вредоносных пакетов" :D или лучше rsync npm-mirror.yandex.fu virustotal.com >> i_loled.log PS: +1 за espeak )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема