URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138482
[ Назад ]
Исходное сообщение
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов"
Отправлено opennews , 25-Ноя-25 14:16 
Зафиксирована вторая атака на пакеты в  репозитории NPM, проводимая с  использованием  модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64322

Содержание
Сообщения в этом обсуждении
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:18 
Никогда не было, и вот опять.¯\_(ツ)_/¯
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 16:37 
Это безопасная компрометация, ошибок памяти нету.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Анони , 26-Ноя-25 05:58 
+1, всегда так делаю.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 06-Дек-25 06:39 
Надо все комиты в репозитории и пакеты релизов заверять PGP подписью:

Linux Foundation https://www.nitrokey.com/news/2018/nitrokey-partners-linux-f...

Gentoo Foundation https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-...

Arch Linux Developers https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linu...

Nextcloud https://www.nitrokey.com/news/2019/nitrokey-and-nextcloud-co...

PIV (Personal Identity Verification) https://www.nitrokey.com/news/2025/nitrokey-3-firmware-18-pi...

Common Criteria EAL 6+ certified https://www.nitrokey.com/news/2021/new-nitrokey-3-nfc-usb-c-...

Nitrokey 3A Mini Receives Official FIDO2 Certification https://www.nitrokey.com/news/2024/nitrokey-3a-mini-receives...

2026 - FIDO2 Level 2 Certification https://www.nitrokey.com/news/2025/nlnet-foundation-supports...

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:27 
Это вполне предсказуемо.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Лиечка , 25-Ноя-25 14:28 
"Если не удается пройти аутентификацию или установить устойчивое присутствие, вредонос пытается уничтожить весь домашний каталог жертвы, включая все файлы, доступные для записи."
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Скушный аноним , 25-Ноя-25 17:39 
Это либо вредоносы научились злиться, либо создатель злится удалённо.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:19 
> Это либо вредоносы научились злиться, либо создатель злится удалённо.

ну брось, создатель, он нетакой.
Он просто беззлобно надеется что после этого в суматохе переустановки и перенастройки ВСЕГО заново - ты все же дашь ему нормально залогиниться.

В принципе, совершенно правильно надеется.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Фняк , 25-Ноя-25 18:24 
Скорее простейшая защита от изучения в песочницах и honeypot-ов
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:36 
npm, cargo, PyPI - это одни большие уязвимости. У Go хотя бы подход децентрализованный, как и у C, C++.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Rev , 25-Ноя-25 14:49 
Но с cargo обычно работают люди с IQ на 20 выше, чем с npm, поэтому там такого не будет.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:10 
Но это не точно.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:44 
Не выше 20. Иначе, им Раст был бы незачем.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:05 
Я знаю много умных программистов на Rust. Там же мощный ещё функциональный аспект (посмотрите кодовую базу typst, например). Так что раз на раз не приходится. В Яндексе (при всём моём смешанном отношении к нему) тоже людям нравится Rust некоторым.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 20:33 
Так они же в комитете по стандартизации C++. Или уже нет?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Васян , 25-Ноя-25 23:03 
- -- -- -- -- Я знаю много умных программистов на ....

Печально, а я не знаю умных программистов, особенно тех кто распрягает окружающих про какой-то ЫЫ и делают вид буд-то так и надо. Честные при честные ребята, ну само совершенство просто...

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 27-Ноя-25 10:37 
А какая связь между ИИ и программистами?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Смузихлеб забывший пароль , 25-Ноя-25 17:08 
Притом, что даже стандартизированного теста для его определения нет )
А последние годы - так и вовсе считается бредом, ибо является пережитком поры, когда считалось, что "функционал" мозга какой получен от рождения - такой и есть
А потом оказалось, что мозги при необходимости постепенно адаптируются под те или иные задачи, в т.ч сильно отличающиеся от тех, которые отлично решались ранее
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 21:29 
> "функционал" мозга какой получен от рождения - такой и есть

Да нет, он может снижаться, если не получает должного обучения в процессе. Например, если чел занимался программированием на си, а потом перешёл на раст.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 20:02 
Ага, и мы видим, что даже с боров-чекером они всё равно писать код с уязвимостями. Страшно подумать, какой бы код они писали на C/C++.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Tron is Whistling , 26-Ноя-25 10:17 
Ниже, вы хотели сказать.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 15:39 
Это ложь, походи по Discord'у (именно там много всяких хипстеров), там у каждого второго растера в профиле написано, что он ещё и на жс макачит.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено cheburnator9000 , 29-Ноя-25 01:07 
Угу вот потому что у них высокий IQ они на crates занимаются сквотингом. Со словами "я такой хороший я забил за собой этот такой прекрасный common name пакета, если кто хочет его забрать обратитесь вот по этим адресам". Например, выходит какая-нибудь библиотека под условный Go она такая от большой компании, но открытая. А "благородный" человек занимает имя пакета для "безопасности" ну да ну да.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:11 
> У Go хотя бы подход децентрализованный

Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:29 
>Угу, это когда исходники тянутся с гитхаба? Это ДЕцентрализованный называется?

Я тебе по секрету скажу, что тянуть исходники может не из гитхаба, а из любого другого источника. Просто чаще всего исходники на гитхабе. Но ты можешь их хостить где угодно и go get оттуда их возмёт. То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Rev , 25-Ноя-25 15:40 
Cargo тоже может тянуть с гитхаба или другой репы.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 18:38 
Но Войны-Супротив-Раста об этом не знают.
Это ж надо документацию почитать!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 16:30 
Итоги: надо качать весь огромный crates.io ради сборки какой-то поделки на Rust'е.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено анон , 25-Ноя-25 15:41 
> То ли дело cargo, тянет только из crates.io. Или тот же PyPI.

будь так добр, предоставь ссылку на документацию, где подтверждается данное утверждение

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено randomize , 26-Ноя-25 13:18 
pip может качать и из приватных реп тоже.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 16:54 
И проходят через GOPROXY где они кешируются. Там эти исходники будут доступны если что-то с github случится.
И если не устраивает сервер по умолчанию то можно и свой поднять.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 26-Ноя-25 12:57 
> И проходят через GOPROXY где они кешируются.

о, удобна - теперь у тебя в кэше лежит червяк.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено голос_из_леса , 27-Ноя-25 03:03 
Учи матчасть и не позорься. Увидел слово PROXY и сразу представил свой большой Redis?

В параноидальных нормальных компания в GOPROXY лежит вес набор нужного, все новое сканируется / проверяться, сканчивать с внешнего мира не получится.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 27-Ноя-25 15:02 
Читаем - в "норальных компаниях" червяк там останется еще лет на десять после того как из нпм его таки выпилили.

Потому что никто ж новое не собирается сканировать и проверять, "и так же все работает!"

Как они "сканируют и проверяют" - продолжай рассказывать басни. Очень веселят тех, кто имеет к этому непосредственное отношение.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:36 
Недооцененный комментарий
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:38 
Еще один довод юзать *.deb.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Анонимный аноним , 25-Ноя-25 14:57 
Если ты не знал, все исходники js-проги вендорятся в deb-пакет. И тоже самое для Go, и для Rust. Причем во всех дистрах.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:59 
У тебя не будет уязвимости с JS-прогой, если у тебя не будет стоять эта JS-прога. Просто не нужно использовать Electron'нную хрень. Я давно бойкотирую все эти поделки. Только нативный GTK, Qt, wxWidgets.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Смузихлеб забывший пароль , 25-Ноя-25 17:10 
> Для проведения атаки злоумышленники путём фишинга...

Ну да, жс во всём виноват

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Tron is Whistling , 26-Ноя-25 10:18 
В том числе. Отсутствие примитивных, но нужных библиотек приводит к тому, что образуется краудшитсорсинг с лефтпадами.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:34 
В Debian как раз каждой зависимости отдельный пакет положен. Как пример:
https://packages.debian.org/trixie/node-axios

То, о чем ты говоришь - это для программ распространяется вне основного репозитория debian, и не соответствующим политикам дистрибутива

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:10 
На самом деле есть npm (подставь тут любой пакетник) to nix. Плюсом помимо пакетов самого языка можно управлять системными либами, компиляторами и прочим. И все это для конкретных окружений. Сейчас же с тем же pip нужно самому зависимости сборочные ставить, если компилять надо.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 17:43 
Если ты сделаешь npm to nix в день наличия червя, как тебя это спасёт?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено X512 , 25-Ноя-25 14:42 
Все дружно переходим на Maven.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Фонтимос , 25-Ноя-25 15:09 
Думаю, это вопрос времени, Ларри вот скоро разрабов выкинет за ворота.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено SubGun , 27-Ноя-25 18:54 
> Все дружно переходим на Maven.

На это страшное дерьмище? Да ни в жизнь. npm хоть имеет возможность себя защитить, а maven - сплошная дырень.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 14:51 
Так, и как с этим бороться ?
https://opennet.ru/63930-npm
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:08 
Перестать пользоваться поделками(зачеркнуть) недоделками из NPM?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 18:22 
> Так, и как с этим бороться ?

Возглавь!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Кошкажена , 25-Ноя-25 15:07 
npm, pip, cargo и есть сами черви. Сами докатились, что простая задача вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор. Обновления только по делу.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено User , 25-Ноя-25 15:46 
> npm, pip, cargo и есть сами черви. Сами докатились, что простая задача
> вытягивает кучу зависимостей. Только ручной клон зависимостей в репу, только хардкор.
> Обновления только по делу.

Ну, у вас не может быть атак на цепочку поставок при отсутствии этой самой цепочки... А если  вот и кода нет - то прям совсем хорошо!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Bottle , 26-Ноя-25 07:05 
Скачивать половину интернета ради сборки одной программы - это глупость.
Данные репозитории к сожалению ничего не делают для предотвращения подобных курьёзов.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено User , 26-Ноя-25 08:27 
> Скачивать половину интернета ради сборки одной программы - это глупость.
> Данные репозитории к сожалению ничего не делают для предотвращения подобных курьёзов.

Ээээ... у вас в "регламенте безопасной разработки" ничего про "фиксацию версий в SBOM", автоматический MR в случае обнаружения уязвимостей, получения зависимостей с внутреннего artifact registry и вот этого вот всего - нет?
А кто в этом виноват? npm-cargo-pip? Или ну... может... не знаю даже... Да не, ерунда какая-то!

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено SubGun , 27-Ноя-25 18:56 
Вот я тоже удивляюсь. Такое ощущение, что люди еще на локальной машине разработкой заниманиются, а деплоят по ftp, раз не знают таких элементарных вещей.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 27-Ноя-25 15:06 
> Скачивать половину интернета ради сборки одной программы - это глупость.

можешь написать свой закат солнца. Каждый лучик отдельно.

Но учти что дедлайн в понедельник никто не отменит. Выходные можешь использовать - за свой счет.

> Данные репозитории к сожалению ничего не делают для предотвращения подобных курьёзов.

делают все что могут - вот, очередной "курьез" изловили. Правда, немного запоздало.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 15:58 
Всего лишь надо на дискетке переключатель сдвинуть, кто помнит.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено IdeaFix , 25-Ноя-25 16:46 
Молодежь.... заклеить надо на дискете дырочку.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 18:33 
Что-то я сомневаюсь, что заклеивать дырочку на перфокарте это хорошая идея...
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено нах. , 25-Ноя-25 19:02 
в смысле? Сто раз так делали! Не тратить же пол-дня на новую заявку ради одной перфокарты!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено IdeaFix , 25-Ноя-25 19:43 
На дискете же... при чем тут перфокарты? Или Вы не знали что на дискетах надо заклеивать дырочку?:)
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 00:40 
Некоторый софт распространялся на дискетах.. и чтобы не париться, дырочек там просто не было. (ну чтобы не стёрли случайно).. и тогда, когда софт становился не нужен, дырочку приходилось вырезать, не пропадать же дискете...

и еще, во времена односторонних дисководов, пару дырочек вырезали уже в другом месте, и тогда дискету можно было использовать перевернув наоборот, увеличивая полезный объём в двое.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Анонис , 25-Ноя-25 16:05 
Да! Давайте делать больше веб-приложений, они ведь такие надёжные и безопасные и заодно выкинем слабое железо, оно ведь явно устарело, и небезшопасно, а все ПК-бояре работают только на машинах с 128 террабайт оперативной памяти! Джаба-скрип во все дома!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 02:36 
Пфф... 128 терабайт? Прошлый век! 128 петабайт - вот, что сейчас в тренде!
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Tron is Whistling , 26-Ноя-25 10:20 
Насчёт терабайт не скажу, но 128 гб в десктопе - это реально сказка :D Я даже потерялся, чем их занять, когда тестовую виртуализацию не гоняю.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено 1 , 25-Ноя-25 16:20 
Представляю, сколько бабла может срубить аффтар leftpad за внедрение такого червя.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Соль земли2 , 25-Ноя-25 17:04 
Сэкономили на сканере уязвимостей в CI/CD. Скупой платит дважды.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 19:22 
У нас безопасники отключили весь npm целиком от корпоративной сети, пока пыль не уляжется. И правильно сделали. Во-первых, по случаю дня индейки всё равно мораторий, во-вторых, по той же самой причине разарабы поразъезжались по домам и девелопить просто некому, в-третьих, всё нужное для ребилда прода, если уж припрёт, всё равно лежит в локальном репозиторий и курируется назначенными.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 19:42 
Плохая безопасность, все публичные репы должны быть отрублены от корп сети всегда. Должны стоять свои репы куда только проверенные пакты добавляют. Язык и источник не важен. Важен тот факт что весь пакет должен проверяется прежде чем быть добавленным в корп репозиторий
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 25-Ноя-25 20:10 
В проде так и происходит, перед подключением приложения к публичному интернету команда разработчиков проходит формальную вычитку, на которые приглашены все желающие fte. Процесс включает проход по всему дереву зависимостей на предмет наличия лефтпадов и подобной дичи. Но в процессе разработки вообще нет никакой разумной причины ограничивать девелоперов в инстументах. Прод от офисной сети отделён фаерволлом, туда можно попасть либо через интернет как все, либо через специальные джампбоксы с доступом к бэкэнду по отдельному запросу и с ограниченным сроком действия. Проверять всё и всегда — бессмысленная трата времени. С компа разраба можно украсть код, но невозможно украсть данные, а без данных тот код бесполезен чуть менее чем полностью.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 02:35 
Ну обнаружишь ты 500 лефтпадов ... каждый по мегабайту. Все проверишь?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 17:35 
500 лефтпадов бывает только комментариях на опеннете. Но если такое вдруг случится, что нужно именно 500 новых лефтпадов втащить на борт, то безопасники будут сидеть и проверять каждый, и они начнут это делать задолго до вычитки, это буквально их прямая должностная обязанность.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 27-Ноя-25 15:08 
коноплев, это пять.

Чувак, дай угадаю - в твоем подвале никогда не было никаких безопасников. Настолько, что ты вообще не отдупляешь чем эти ребята занимаются.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено голос_из_леса , 27-Ноя-25 03:09 
У нас так же с гошными пакетами. Многие из них с 2020 не обновлялись. А зачем, если новый функцианал и правки не нужны.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 27-Ноя-25 15:09 
> У нас так же с гошными пакетами. Многие из них с 2020 не обновлялись.

червяк из 2020го года просто счастлив.

Пара закладок и десяток уязвимостей - тем более.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено SubGun , 27-Ноя-25 19:14 
> У нас безопасники отключили весь npm целиком от корпоративной сети, пока пыль не уляжется.

А у вас безопасники не знают про хэш-суммы? Как вообще можно слить зараженный пакет?
В package-lock.json есть поле integrity, которое по идее не даст слить зараженный пакет. Кроме того, в самом packages.json можно указывать хэш как для пакетов, так и для коммитов, если пакет из гита собирается.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 00:14 
Мэтры уже все сказали:

https://builds.shipilev.net/

Цитата: Our motto: "builds.shipilev.net — still more secure than npm install"

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Джон Титор , 26-Ноя-25 01:16 
Это гениально, причем с отсылкой к фантастике. Тоже люблю Дюна. У автора этого зловреда есть вкус.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 01:19 
Ну необучаемые, казалось бы, даже до самых тупых разрабов уже должны были докатится новости о таких фишингах, ну пошевили мозгой то, если такое происходит, логично ожидать сомнительных писем в почте... Ан нет, тупость всё же победила.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Zenitur , 26-Ноя-25 06:29 
Дюну в теги.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Феникс123 , 26-Ноя-25 07:32 
> Sha1-Hulud

Видно что писалось для души, прям как в старые добрые время, мне нравится. Сейчас по моему такое редкость. Я помню читал книжки с описаниями вирусов, где какие сигнатуры, какие алгоритмы - интересно когда вот так немного проявляется личность создателя.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 11:44 
Как-будто в компостере или cpan нет таких уязвимостей. Да в том же go пакеты качаются прямо с гитхуба, а что там - никто не знает. Или же си с плюсами - надо тоже качать либы с интерента и коньпилировать их, никто их конечно же не проверяет. Опенсорс, такой опенсорс...
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 21:27 
Не коньпилируй, а качай сразу бинарь собранный. Ну чтоб не как в опенсорсе таком опенсорсе.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 11:54 
А есть какая-то опция чтобы на каждый preinstall выдавался запрос пользователю, мол вы хотит запустить это "rm rf" Y/Д N/Н?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 12:51 
Ты работать собрался или кнопочки нажимать?
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 26-Ноя-25 12:54 
> Ты работать собрался или кнопочки нажимать?

так надо чтоб через пару минут без ответа - автоматически rm -rf
(э... да что там - и при любом ответе тоже, кому мнение юзеров вообще интересно)


"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 12:49 
У нас с этого безопасники неплохо кормятся, целый отдел. Много регламентов как правильно оформить и согласовать заявку на скачать зависимость, причем не напрямую а через внутренний сервис, в котором ведется база уязвимостей библиотек.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Минона , 26-Ноя-25 21:14 
Не зря свой хлеб едят.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено пох.. , 27-Ноя-25 15:11 
Зря. Потому что вот этого червяка в их базе пока еще не было.

"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 26-Ноя-25 22:00 
Нужно капчу приделать для подтверждения отправки релизов... со светофорами/автобусами/лестницами, как в Cloudflare.... которая только с пятого раза срабатывает, если повезёт.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Пакость , 28-Ноя-25 01:48 
Нужно сделать и стандартизировать унифицированный стандарт АПИ для драйверов и системных компонентов. Единый, ну, по крайней в рамках одного поколения реализаций ядра. WinNT driver API как пример.
Чтоб можно было исключить общие репозитории.
Иначе от подобных проникновений в саму систему дистрибуции пакетов не защититься.
"При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакето..."
Отправлено Аноним , 27-Ноя-25 07:20 
нпм - очевидное зло
без конца идут отчеты о компрометации