URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 122309
[ Назад ]

Исходное сообщение
"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено opennews , 03-Ноя-20 11:50

В репозитории NPM выявлен вредоносный пакет twilio-npm, в котором присутствует бэкдор, позволяющий управлять системой с внешнего сервера (во время импортирования модуля создаётся соединение с сервером злоумышленников и запускается reverse shell)...
Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54019

Содержание

В репозитории NPM выявлен вредоносный пакет twilio-npm,m.makhno, 11:50 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 14:16 , 03-Ноя-20
  - В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 14:47 , 03-Ноя-20
    - В репозитории NPM выявлен вредоносный пакет twilio-npm,Lex, 15:52 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 11:57 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 11:58 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,пох., 15:14 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 12:03 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 12:34 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 13:43 , 03-Ноя-20
  - В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 13:58 , 03-Ноя-20
    - В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 14:26 , 03-Ноя-20
  - В репозитории NPM выявлен вредоносный пакет twilio-npm,Satya Nadella, 14:04 , 03-Ноя-20
  - В репозитории NPM выявлен вредоносный пакет twilio-npm,Lex, 15:47 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 19:13 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Леннарт Поттеринг, 23:30 , 06-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,КО, 12:45 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Сишник, 15:12 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 15:38 , 03-Ноя-20
  - В репозитории NPM выявлен вредоносный пакет twilio-npm,Lex, 16:05 , 03-Ноя-20
    - В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 17:10 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 15:36 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 18:17 , 03-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,нитрол, 22:16 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 22:52 , 03-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,Онаним, 10:29 , 04-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 00:01 , 04-Ноя-20
- В репозитории NPM выявлен вредоносный пакет twilio-npm,11, 20:27 , 04-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,ZULUL, 03:01 , 04-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Иваня, 09:17 , 04-Ноя-20
В репозитории NPM выявлен вредоносный пакет twilio-npm,Аноним, 12:38 , 05-Ноя-20

Сообщения в этом обсуждении

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено m.makhno , 03-Ноя-20 11:50

никогда не было и вот опять

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 14:16

вся суть говнопомоек.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 14:47

Надо вводить проверку аутентичности по PGP и собственникам репозитория давать доступ только известным, аутентичным проектам.
Проверять проекты это ресурсоемко, а без проверок с любого репозитория получается помойка.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Lex , 03-Ноя-20 15:52

Да ничего там в помойку не превратилось.
Просто любой новый пакет перед установкой и использование. надо хотя бы бегло осмотреть - статистику скачиваний на npm, как долго пакет существует, сколько есть версий, когда выпущена последняя версия, сколько звёзд и багов( из них - пофикшено и как быстро разрабы реагируют ) у проекта на гитхабе.
Ситуации ведь разные бывают:
Пакет-целенаправленная дырень / годный пакет но с малым функционалом / годный пакет, но брошенный авторами и с растущим количеством багов / итп

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 11:57

Ну вот, не успели, можно было бы и наоборот уметь подключаться к их серверу, который собирает другие подключения, но уже уязвимый пакет не возможно скачать. Осталось найти приватные ключи от их ssh сервера...

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 11:58

Исправлено: "В репозитории NPM выявлен очередной вредоносный пакет"

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено пох. , 03-Ноя-20 15:14

Можно короче: "в репозитории npm выявлен очередной пакет".

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 12:03

В чем тут новость? Там же такое постоянно. Это все равно что писать новость "на файлообменнике rapidshare найден вирус".

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 12:34

Да чтож такое с этим NPM, опять сишные дыры виноваты?! О, злонамеренные дыры, наверняка сишные!

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 13:43

Будто в пакетных помойках других языков нет дырень. Но виноват, конечно, npm.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 13:58

> Будто в пакетных помойках других языков нет дырень. Но виноват, конечно, npm.
В пакетных помойках других языков вообще негров линчуют!
Так что расходимся, товарищи, ничего страшного не произошло, всё хорошо.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 14:26

Так демократия и работает - что хочешь то и пишешь в пакет. Пока шериф не поймает.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Satya Nadella , 03-Ноя-20 14:04

В Chocolatey нету.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Lex , 03-Ноя-20 15:47

Конечно нет.
Нет пакетов - нет дыреней в пакетах :)

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 19:13

>опять сишные дыры виноваты?! О, злонамеренные дыры, наверняка сишные!
Фрактал тебя ободряет.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Леннарт Поттеринг , 06-Ноя-20 23:30

js он такой, почти как С

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено КО , 03-Ноя-20 12:45

"успели загрузить 371 раз"
Ужас то какой

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Сишник , 03-Ноя-20 15:12

Забавно, забанили только пакет, а не аккаунт его владельца целиком - у него ещё 24 пакета там опубликовано. Дырени нодеров в опасносте!

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 15:38

Зато джаваскрипт памятебезопасный язык. Попробуйте на джаваскрипт сегфолт словить.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Lex , 03-Ноя-20 16:05

Кстати, бывало нечто подобное :)
Это было связано с JITом и его специфическим поведением

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 17:10

Я даже Раст крэшил
Если исключить ffi/unsafe, то один раз, когда случайно вбросил в format! какую-то совсем дичь (уже не помню, что конкретно)

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 15:36

Не интересно.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 18:17

так вам и надо

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено нитрол , 03-Ноя-20 22:16

Слабенькие комментарии, слишком культурные. А где же "JavaScript - это недоязык", "Кто пишет на JS - те *ки", "npm создали *ы" и тому подобные свежие статистические сводки всея айти. Я вот зашел поохотиться на подобные перлы, а тут спокойное культурное выпускание пара. Ага, наверное, это из-за того, что в мини-новости определено.
ps. Похоже, что я и создал комментарий, который искал. Налетай :)

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 03-Ноя-20 22:52

nodejs - разжиревший кусок г..на, специально сделанный таким для того чтоб. увидите кто выкатит рассово чистый двиг для тупоскрипта либо дёрта и помереть. Стандартный прием копрораций - изгадить конкурирующую технологию максимум.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Онаним , 04-Ноя-20 10:29

JS тут не при чём.
А любители автоматом тянуть зависимости из говнорепозитариев с trust level < 0 могут страдать по определению.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 04-Ноя-20 00:01

В этой новости интересно другое. Как этот пакет выявили. Тут к сожалению это не описано. По ссылкам написано, что нашла это компания Sonatype при помощи своего инструмента "Release Integrity". В новостях как раз в октябре 2020 они пишут
Release 100 (October 2020)
Advanced Development Pack
Advanced Remediation Strategies, Hygiene Ratings, Breaking Changes, and Release Integrity capabilities made Generally Available as part of the Advanced Development Pack add-on product license.
Ну то есть разрекламировались перед выпуском продукта. Я конечно не намекаю ни на что, но не могли ли они сами выложить сие, а потом героически его найти?

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено 11 , 04-Ноя-20 20:27

Практически в том же ключе думал, только про другую компанию из новости. Интересный такой способ рекламы.

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено ZULUL , 04-Ноя-20 03:01

Помнити лифпад!

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Иваня , 04-Ноя-20 09:17

ЖабаСкриптные дырени...

"В репозитории NPM выявлен вредоносный пакет twilio-npm"
Отправлено Аноним , 05-Ноя-20 12:38

А вот переписали бы на расте...