"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю" | +/– |  |
| Сообщение от opennews (??), 31-Мрт-26, 22:44 | ||
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов - с 03:21 по 6:15 (MSK)... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
|
| Сообщения | [Сортировка по времени | RSS] |
| 2. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | –1 +/– | |
| Сообщение от Аноним (2), 31-Мрт-26, 22:44 | ||
Во черт! Надеюсь я npm install позже писал. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 3. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– | |
| Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44 | ||
Хорошая новость. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 5. Скрыто модератором | –1 +/– |  |
| Сообщение от Rev (ok), 31-Мрт-26, 23:02 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 6. Скрыто модератором | +/– | |
| Сообщение от Аноним (2), 31-Мрт-26, 23:05 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 11. Скрыто модератором | +/– | |
| Сообщение от Аноним (11), 31-Мрт-26, 23:47 | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| 7. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– | |
| Сообщение от Аноним (7), 31-Мрт-26, 23:14 | ||
Кучно пошли, к дождю... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 9. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– | |
| Сообщение от Анрним (?), 31-Мрт-26, 23:25 | ||
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 10. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– | |
| Сообщение от Аноним (10), 31-Мрт-26, 23:44 | ||
> Как именно был перехвачен токен доступа не уточняется. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 13. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– | |
| Сообщение от Аноним (13), 01-Апр-26, 00:32 | ||
Неужели не из-за ошибок памяти си? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 12. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– |  |
| Сообщение от q (ok), 01-Апр-26, 00:11 | ||
axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью." | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 14. "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в..." | +/– | |
| Сообщение от Аноним (14), 01-Апр-26, 00:33 | ||
А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
