forum.opennet.ru - "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю" (17)

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"	+/–
Сообщение от opennews (??), 31-Мрт-26, 22:44
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов - с 03:21 по 6:15 (MSK)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65109
Ответить \| Правка \| Cообщить модератору

Оглавление

Во черт Надеюсь я npm install позже писал , Аноним (2), 22:44 , 31-Мрт-26, (2) –1
Хорошая новость Нужно больше лефтпадов в крейтах , Tron is Whistling (?), 22:44 , 31-Мрт-26, (3) +2

Скрыто модератором, Rev (ok), 23:02 , 31-Мрт-26, (5) –2

Скрыто модератором, Аноним (2), 23:05 , 31-Мрт-26, (6) +1
Скрыто модератором, Аноним (11), 23:47 , 31-Мрт-26, (11)
Скрыто модератором, 12yoexpert (ok), 02:18 , 01-Апр-26, (20)

Кучно пошли, к дождю , Аноним (7), 23:14 , 31-Мрт-26, (7)
Миллионы глаз на изи нашли Что происходит в менеджерах где 10 калек на в расте , Анрним (?), 23:25 , 31-Мрт-26, (9)
Да известно как это делается Либо через почту, либо через GitHub Actions , Аноним (10), 23:44 , 31-Мрт-26, (10)

Неужели не из-за ошибок памяти си , Аноним (13), 00:32 , 01-Апр-26, (13)

axios уже давно не нужен, есть нативный fetch Внимание Если вам кажется, что, q (ok), 00:11 , 01-Апр-26, (12)

А вот и целевая аудитория таких взломов Рассуждает о абсолютно неважных вещах, , Аноним (14), 00:33 , 01-Апр-26, (14) –3

Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумыва, q (ok), 02:08 , 01-Апр-26, (17)

Как хорошо что я всю эту js бяку запускаю в докере , Аноним (15), 01:24 , 01-Апр-26, (15)

Скрыто модератором, Аноним (16), 01:41 , 01-Апр-26, (16)
где-то в этой жизни ты свернул не туда, 12yoexpert (ok), 02:16 , 01-Апр-26, (19)

раз в неделю одно и тоже что питон, что жс, что раст, 12yoexpert (ok), 02:16 , 01-Апр-26, (18)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 31-Мрт-26, 22:44 –1 +/–

Во черт! Надеюсь я npm install позже писал.

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44 +2 +/–

Хорошая новость.
Нужно больше лефтпадов в крейтах.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от Rev (ok), 31-Мрт-26, 23:02 Скрыто ботом-модератором –2 +/–

В крейтах такого не бывает, только в репах скрипто-мaкак почему-то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #11, #20

6. Сообщение от Аноним (2), 31-Мрт-26, 23:05 +1 +/–

В крейтах и пользователей не бывает, что там атаковать? Перекати-поле?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 31-Мрт-26, 23:14 +/–

Кучно пошли, к дождю...

Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Анрним (?), 31-Мрт-26, 23:25 +/–

Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 31-Мрт-26, 23:44 +/–

> Как именно был перехвачен токен доступа не уточняется.
Да известно как это делается. Либо через почту, либо через GitHub Actions.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от Аноним (11), 31-Мрт-26, 23:47 +/–

В крейтах все верют в безопасТность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от q (ok), 01-Апр-26, 00:11 +/–

axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

13. Сообщение от Аноним (13), 01-Апр-26, 00:32 +/–

Неужели не из-за ошибок памяти си?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 01-Апр-26, 00:33 –3 +/–

А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 01-Апр-26, 01:24 +/–

Как хорошо что я всю эту js бяку запускаю в докере)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #19

16. Сообщение от Аноним (16), 01-Апр-26, 01:41 Скрыто ботом-модератором +/–

Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от q (ok), 01-Апр-26, 02:08 +/–

Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16 +/–

раз в неделю одно и тоже: что питон, что жс, что раст

Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16 +/–

где-то в этой жизни ты свернул не туда

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:18 +/–

и где противоречие?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 31-Мрт-26, 22:44	–1 +/–
Во черт! Надеюсь я npm install позже писал.
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44	+2 +/–
Хорошая новость. Нужно больше лефтпадов в крейтах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

5. Сообщение от Rev (ok), 31-Мрт-26, 23:02 Скрыто ботом-модератором	–2 +/–
В крейтах такого не бывает, только в репах скрипто-мaкак почему-то.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #6, #11, #20

6. Сообщение от Аноним (2), 31-Мрт-26, 23:05	+1 +/–
В крейтах и пользователей не бывает, что там атаковать? Перекати-поле?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 31-Мрт-26, 23:14	+/–
Кучно пошли, к дождю...
Ответить \| Правка \| Наверх \| Cообщить модератору

9. Сообщение от Анрним (?), 31-Мрт-26, 23:25	+/–
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. Сообщение от Аноним (10), 31-Мрт-26, 23:44	+/–
> Как именно был перехвачен токен доступа не уточняется. Да известно как это делается. Либо через почту, либо через GitHub Actions.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

11. Сообщение от Аноним (11), 31-Мрт-26, 23:47	+/–
В крейтах все верют в безопасТность.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

12. Сообщение от q (ok), 01-Апр-26, 00:11	+/–
axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14

13. Сообщение от Аноним (13), 01-Апр-26, 00:32	+/–
Неужели не из-за ошибок памяти си?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 01-Апр-26, 00:33	–3 +/–
А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 01-Апр-26, 01:24	+/–
Как хорошо что я всю эту js бяку запускаю в докере)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16, #19

16. Сообщение от Аноним (16), 01-Апр-26, 01:41 Скрыто ботом-модератором	+/–
Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

17. Сообщение от q (ok), 01-Апр-26, 02:08	+/–
Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

18. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16	+/–
раз в неделю одно и тоже: что питон, что жс, что раст
Ответить \| Правка \| Наверх \| Cообщить модератору

19. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16	+/–
где-то в этой жизни ты свернул не туда
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

20. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:18	+/–
и где противоречие?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5