The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в неделю, внедрено вредоносное ПО

04.11.2021 23:59

Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service. Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика.

Атака была совершена через взлом учётной записи разработчика проекта. Добавленные вредоносные изменения аналогичны тем, что использовались в совершённой две недели назад атаке на пользователей NPM-пакета UAParser.js, но ограничились атакой только на платформу Windоws (в блоках загрузки для Linux и macOS оставлены пустые заглушки). На систему пользователя с внешнего хоста загружался и запускался исполняемый файл для выполнения майнинга криптовалюты Monero (использовался майнер XMRig) и устанавливалась библиотека для перехвата паролей.

При формировании пакета с вредоносным кодом была допущена ошибка, которая вызывала сбой при установке пакета на некоторых системах, поэтому проблема была оперативно замечена и распространение вредоносного обновления блокировано на ранней стадии. Пользователем следует убедиться, что у них установлена версия coa 2.0.2 и желательно добавить в package.json своих проектов привязку (coa@2.0.2) к рабочей версии на случай повторной компрометации.

Дополнение: Следом зафиксирован аналогичный захват пакета rc, предназначенного для загрузки и разбора файлов конфигурации. Пакет насчитывает 14 млн загрузок в неделю и 1323 зависимости. Злоумышленники выпустили обновления 1.2.9, 1.3.9 и 2.3.9 с тем же вредоносным кодом, а администрация NPM его заблокировала. Нескомпрометированной является версия rc 1.2.8.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
  3. OpenNews: В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют
  4. OpenNews: Уязвимость в NPM, приводящая к перезаписи файлов в системе
  5. OpenNews: Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю
  6. OpenNews: Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектов
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56104-npm
Ключевые слова: npm
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Шарп (ok), 00:25, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Шо, опять?
     
     
  • 2.6, Аноним (6), 01:17, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Не опять, а снова!
     
     
  • 3.8, tty0 (?), 03:14, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А зачем так часто качают?
     
     
  • 4.13, ET (?), 06:41, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    в этом вся смакушка современной разработки на жыэс и тд
     
     
  • 5.89, лютый жабби__ (?), 17:45, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >в этом вся смакушка современной разработки на жыэс и тд

    почему только JS? на всём, что делает в CI CD "clean build"
    проблема больше в дурацких дефолтах гитлаба и подобного, могли бы кешировать по умолчанию.

     
  • 4.61, OramahMaalhur (ok), 12:36, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Потому что дево-псята не парятся с настройкой билдов и для них не проблема выкачать пару сот метров пакетов на каждый CI-чих.
     
     
  • 5.67, Аноним (67), 13:34, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Даже макака научилась использовать кэш пакетов (одна строчка конфига).

    А ты до сих пор не смог.

     
     
  • 6.71, ананоша (?), 14:16, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какая? Пойду пропишу
     
  • 3.102, Ag (ok), 00:45, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Стабильность - признак качества и зрелости платформы!
     
  • 2.63, Dzen Python (ok), 13:05, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Угу. Никогда такого не было, вот вдруг опять.

    Единственное, что радует - платформа уже научилась оперативно шевелиться и откатывать вредоносов. Теперь бы им еще немного над собой подрасти над верификацией владельцев пакетов и обучить пару нейросеток на выявление подозрительных паттернов поведения и диффов...

     

  • 1.2, Аноним (2), 00:41, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А не думали сделать наконец двухфакторную авторизацию в npm репозитории?
     
     
  • 2.4, OpenEcho (?), 00:52, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Привет Гугл, и тебе хорошего дня !
    Даешь уникальную идентификацию по IMEI
     
     
  • 3.51, Аноним (51), 12:06, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем IMEI, если есть универсальная двухфакторная аутентификация U2F?
     
     
  • 4.85, OpenEcho (?), 17:07, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем IMEI, если есть универсальная двухфакторная аутентификация U2F?

    Ну спросите у Гугла, согласен ли он с вами...
    Он готов конечно поиграться с секъюрити ключами, но сперва IMEI (ну чтоб к паспорту/номеру соц.страхования, адресу приваязаться) и самое главное - исключительно в целях заботы о нас, - " тупых и грешных"

     
     
  • 5.86, Аноним (86), 17:21, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не пользуюсь ничем таким у Гугла, для чего есть двухфакторная аутентификация. По-моему, я вообще Гуглом не пользуюсь.
     
  • 5.114, Kuromi (ok), 01:52, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно сервисы поддерживающие двухфакторку просят указать номер телефона чтобы выслать код восстановления в случае потери доступа к средству духфакторной авторизации. Не все, причем, скажем Namecheap позволяет использовать WebAuthn без номера телефона и смс.

    Это в теории.

    Тем не менее как человека живущего в стране где любая шарашка узнав твой номере телефона почему-то считает что получила право заваливать тебя рекламой (дикий случай - один раз в жизни пополнял баланс телефона через банкомат Газпромбанка (не клиент), ТОЧНО не давал никаких согласий ни на что - ГПБ теперь валит мне рекламу кредитов; делаешь заказ в 2 Берега через Деливери? Жди вал рекламных СМС от 2 Берега) меня тоже напрягает излишняя тяга всех кому не лень спрашивать номер телефона.

     
     
  • 6.117, OpenEcho (?), 08:55, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычно сервисы поддерживающие двухфакторку просят указать номер телефона чтобы выслать
    > код восстановления в случае потери доступа к средству духфакторной авторизации. Не
    > все, причем, скажем Namecheap позволяет использовать WebAuthn без номера телефона и
    > смс.
    > Это в теории.

    namecheap и так уже знает все про клиента, достаточно один раз засветить карту и все, кстатти namecheap один из немногих регистраров у которых апаратные ключи работают как должны.


    > меня тоже напрягает излишняя тяга всех кому не лень спрашивать номер
    > телефона.

    Номер телефона - это почти 100% гарантийная идентификация личности, вот они все и лезут под трусы


     
     
  • 7.122, Kuromi (ok), 17:57, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Идентификация И Спам Вот сейчас в одном магазине в котором порой отовариваюсь м... большой текст свёрнут, показать
     
     
  • 8.123, OpenEcho (?), 20:05, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И здесь напрашивается старый как мир вопрос Что делать Все идет к тому, что ... текст свёрнут, показать
     
  • 2.5, Аноним (5), 01:15, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А не пробовали какое-никакое ревью устраивать при публикации?
     
     
  • 3.7, Аноним (7), 02:16, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ревью нужно делать не при публикации, а при использовании у себя, вы же не запускаете у себя всё подряд скаченное из интернета.
     
     
  • 4.9, tty0 (?), 03:15, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Он пользуется npm, а значит да, запускает.
     
  • 4.33, Аноним (33), 11:04, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > запускаете у себя всё подряд скаченное из интернета

    Ну как бы вся суть JavaScript в запускании левого кода из интернета. Видимо, многим яваскрипт-кодерам это так въелось в подкорку, что то же отношение они распрстраняют в т.ч. и на десктопное ПО, и на прцесс разработки в целом.

     
  • 4.38, Аноним (5), 11:30, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Ух ты, уважаю. Впервые встречаю человека, который ядро линукса каждый раз ревьювает прежде чем обновиться.
     
  • 2.18, жорик (?), 08:08, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Да ещё и гугл капчу и паспортные данные, а вдрух
     
     
  • 3.75, fghj (?), 14:41, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Открой для себя FreeOTP от redhat. Никаких SIM кард не нужно и тем более
    не нужно кому-то сообщать свой номер телефона. Неужели считаете что "SMS от банка" это единственный способ двухфакторной авторизации?
     
     
  • 4.90, пох. (?), 18:02, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    мы считаем что нет никакой проблемы просто не прое ть свой пароль - если ты не ... большой текст свёрнут, показать
     
     
  • 5.95, Аноним (2), 20:38, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это какой-то бред про сферического коня в вакууме. Если вернутся в реальный мир, то в нем доступ к паролям разработчиков npm получают преступники. И в реальном мире взломать одновременно две разные системы одна из которых вообще с интернетом не связана и хранит ключи в секретном месте (freeotp) сложнее чем выманить пароль почты из техподдержки, а потом с помощью почты получить пароль к реестру. Не невозможно, но на порядок сложнее и дороже. А то что google может что-то там это вообще не причём, вряд ли он в npm бэкдоры добавляет.
     
     
  • 6.101, пох. (?), 21:58, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    потому что разработчики полные дол е ы совершенно не надо Надо хакнуть дерьмо... большой текст свёрнут, показать
     
     
  • 7.113, Елпидифор Разумберг (?), 11:05, 07/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    как разработчик - не могу пройти мимо и не заметить: дол..е.ы - одна точка лишняя
     
  • 5.99, Аноним (86), 21:35, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И ещё раз про аппаратные ключи GPG за копейки: https://habr.com/en/post/507010/
     
     
  • 6.100, пох. (?), 21:50, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо, конечно, но мне неинтересно читать про страдания и подвиги кр c зиков... большой текст свёрнут, показать
     
     
  • 7.103, Аноним (103), 00:54, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А я спаял себе эту OpenPGP-карту.

    Кстати, ты пользуешься XMPP? Ты интересный, я был бы рад пообщаться с тобой в конференции.

     
  • 5.115, Kuromi (ok), 01:59, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Насчет генераторов с ПИН не скажу, а вот WebAuthn токены... большой текст свёрнут, показать
     
     
  • 6.118, пох. (?), 11:02, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть опять одна херня.

    Я и говорю - тут уже хошь не хошь, поверишь в заговор.
    Ну не может же ж людская тупость быть такой всеобъемлющей?

    Вон лежит у меня этот генератор на столе. Пользы ровно ноль - те кто его мне выдали, перешли на sms. Хотя уже все работало и люди пользовались (я только ради этого сохранял у них договор).

     
     
  • 7.121, Kuromi (ok), 17:51, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну то есть опять одна херня.
    > Я и говорю - тут уже хошь не хошь, поверишь в заговор.
    > Ну не может же ж людская тупость быть такой всеобъемлющей?
    > Вон лежит у меня этот генератор на столе. Пользы ровно ноль -
    > те кто его мне выдали, перешли на sms. Хотя уже все
    > работало и люди пользовались (я только ради этого сохранял у них
    > договор).

    Да, СМС нынче это "серебрянная пулька" (на самом деле нет). Мне сразу вспоминается Юmoney (бывший Яндекс.Деньги) - стоило им перейти под контроль Сбера, они сразу же 1) заменили TOTP на CМC 2) заменили HTTP2 на HTTP1.1

    Вот такой вот даунгрейд.

     

  • 1.10, Аноним (10), 03:16, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Привязка к версии, но не к подписанному верифицируемому хешу определённого пакета? Звучит надёжно.
     
     
  • 2.39, Урри (ok), 11:35, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Прекрасный совет, гениальный как юзеры опеннета.

    Надо привязаться к подписанному верифицируемому хешу версии с троянами и чтобы ни одно обновление безопасности или исправление ошибок ни в коем случае не прилетело.

     
     
  • 3.43, Аноним (10), 11:43, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь подумай. Чем это хуже от привязки к версии? Только защитит от подмены или левого пакета, это не хуже. Расхождение сразу привлечёт внимание опять же. Обновление чекнешь и поменяешь хэш, не сахарный.
     
     
  • 4.53, Урри (ok), 12:10, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я об этом и пишу - обновляешься, запускаешь, проверяешь что работает, даже автотесты пробегает, замораживаешь хеши.

    А через неделю срабатывает временной триггер, и твоя система начинает майнить. Трояна находят, оперативно исправляют (он в лефтпаде, который твой хелловорлд использует через 50 пакето-зависимостей). Весь мир тут же излечивается, а ты дальше майнишь, ибо ни сном ни ухом, что вот этот вот один из миллиона существующих пакетов у тебя таки используется.

    Прекрасный план, мистер Фикс. Так держать.

     
     
  • 5.57, Аноним (10), 12:16, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему нельзя весь миллион существующих пакетов зафиксировать? Вроде, все только так и делают. Ну, те, кто не хочет майнеров себе пропускать, во всяком случае. А при первом расхождении всё обнаруживается.
     
     
  • 6.64, Урри (ok), 13:10, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какое расхождение, ты о чем?
    Автор сам майнер закодил или у автора акк угнали, как в новости - в коде "if date > 1.1.2022 майним" . Никаких расхождений, код не менялся, все прекрасно. И майнер с тобою теперь навсегда.

    --
    Пример, между прочим, не из головы. В несколько бородатее времена я сам так кодил (молод был, глуп, мне очень были нужны деньги - простите меня пожалуйста): апликуха под айос, чтобы пройти индусоревью, молча ждала две недели и только после этого времени (индусы обычно за неделю справлялись) начинала показывать рекламу.

     
     
  • 7.66, Аноним (10), 13:25, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Расхождение ожидаемых хэшей с имеющимися, про попытке установить всплывёт. Если удалили, тоже (стоят задаться вопросом конечно, куда дели).
     
  • 3.68, Аноним (67), 13:46, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Всё правильно он говорит. Фиксируемая версия. А обновление и так прилетит от DependaBot и Snyk ботов, которые мониторят все уязвимости.

    Это на случай "в зафиксированной версии обнаружилась уязвимость".
    Или ты как эти уязвимости собираешься обнаруживать? По статьям на opennet?

     

  • 1.11, Аноним (11), 05:43, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А люди действительно пользуются пакетами для разборки аргументов командной строки? Что уже циклы написать сложно? Давайте ещё пакет для сортировки чисел использовать. И для простых мат операций. Таких «разработчиков» не жалко, расходный материал, в руки по банану и обратно их на дерево.
     
     
  • 2.14, Аноним (14), 06:41, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так это еще по серьезке. Классика npm провалов же leftpad, там весь "пакет" сводился к добавлению к тексту слева 8 пробелов. И тем не менее вагон зависимостей, как налажали - на весь интернет вою было.
     
     
  • 3.37, Аноним (11), 11:19, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ааааа…. Ооокей… аццкая сотона… ну его нахер, не… ну ты это видел… я пошёл спать… ну это поколение…
     
  • 2.17, СССР (?), 08:04, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а прикинь тебе ктото миус поставил )) и прада ты кого то обидел сильно )))
     
     
  • 3.21, Аноним (10), 08:58, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Дело не в обиде. Он рассуждает как вредитель и нуб, таких людей с их ручным разбором аргументов и кривыми велосипедами надо держать как можно дальше от разработки. Обычно вендузятники таким балуются, и пользователи их ненавидят. Для остальных ожидаемый уровень намного выше (хотя бы getopt).
     
     
  • 4.26, _hide_ (ok), 10:06, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Да, да, да, товарищ демагог, а качество Ваших библиотечных разборов, конечно, намного выше, нежели моего или того анонима разбора.
    Если в RTL нет разбора аргументов, то тут уже никакие пакетные менеджеры не помогут!
     
     
  • 5.27, Аноним (10), 10:26, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Именно. Это дорого, это излишне сложно, это подвержено ошибкам, это выглядит не лучшим образом, и это велосипед (вряд ли он хороший). И пользователи вас с анонимом проклинают.
     
     
  • 6.28, Аноним (11), 10:50, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А вот пакеты с бэкдорами и червями это конечно решение. Умудрится написать корявую разборку аргументов это талант. У нас, на работе, есть стандарт, по которому все программы должны работать. Свои наработки, свои библиотеки. Один раз написали для себя и все отлично работает. Ну ты продолжай своё г кушать большой ложкой, миллионы мух ошибаться не могут.
     
     
  • 7.31, Аноним (10), 10:59, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У пользователей тоже есть стандарты. Кривые NIH-велосипеды им не отвечают.
     
     
  • 8.47, макпыф (ok), 11:52, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    меня мало волнует, является ли какая нибудь функция в программе NIH-велосипедом... текст свёрнут, показать
     
     
  • 9.50, Аноним (10), 11:57, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не часто встречаю ситуацию зависимость ради зависимости Обычно эта зависимо... текст свёрнут, показать
     
     
  • 10.54, макпыф (ok), 12:14, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если вам нужен какой то сложный и серьезный функционал - ок Если надо пробелы с... текст свёрнут, показать
     
     
  • 11.112, _hide_ (ok), 23:32, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Столкнулись товарищи сдал проект и забыл с теми, кто пишут вещи работающие 20-... текст свёрнут, показать
     
  • 7.42, Урри (ok), 11:42, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А у вас на работе нету стандарта, что программы должны не просто работать, а работать без ошибок?

    > Один раз написали для себя и все отлично работает.

    Бекдор из предыдущей новости отлично работал, случайно заметили. У вас там на бекдоры как, есть тоже какой-то стандарт?

     
  • 6.29, Аноним (11), 10:54, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    О да. Тебе сложно массив разобрать? Ты хоть hello world без библиотек, туторалов поста на стаковерфлов,  и ста зависимостей могёш?
     
     
  • 7.30, Аноним (10), 10:57, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты либо теоретик, либо я не знаю чем это оправдать.
     
     
  • 8.34, Аноним (11), 11:14, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Давай ещё начнём пипками меряться тут Ты мне свой код покажи а я тебе свой ск... текст свёрнут, показать
     
     
  • 9.55, Урри (ok), 12:14, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https code woboq org userspace glibc posix getopt c html Моя длиннее, толще, н... текст свёрнут, показать
     
     
  • 10.69, n00by (ok), 14:04, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ambig_set alloca n_options Хотелось бы уточнить ещё и глубину в байтах ... текст свёрнут, показать
     
  • 8.44, Sw00p aka Jerom (?), 11:44, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    когда количество стороннего кода больше чем собственного - как такую ситуацию об... текст свёрнут, показать
     
     
  • 9.56, Урри (ok), 12:15, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как нормальное состояние любого программного продукта ... текст свёрнут, показать
     
  • 6.45, макпыф (ok), 11:48, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    проклинаю как пользователь тебя и таких как ты т.к. из за этого мне приходится собирать на каждую ерунду 100500 зависимостей (правда я не про npm, но это не особо важно)
     
     
  • 7.48, Аноним (10), 11:53, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Понимаю, удобный и функциональный софт кому-то тоже не нравится, вам подавай спектрумы и убогий максимально никчёмный софт. Это редкое отклонение, уверяю тебя.
     
     
  • 8.49, макпыф (ok), 11:54, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мне надо что софт хорошо делал то, для чего я его поставил ... текст свёрнут, показать
     
  • 5.91, пох. (?), 18:05, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Да, да, да, товарищ демагог, а качество Ваших библиотечных разборов, конечно, намного выше

    конечно, их же тысячегласс проверил!
    (вот особенно невменяемую gnu getopt)

     
  • 3.32, Аноним (11), 11:01, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно мчс звать у него пригорела… сейчас будет холивару разводить, про велосипеды. Жалко компиляторы раздавать таким.
     
  • 2.40, Урри (ok), 11:39, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Функция getopt из <unistd.h> стандартизирована, если не ошибаюсь, где-то в самом конце 90х.
    И да, ею пользуются и по хорошему надо бить по рукам тех, кто это не делает.

    Ибо ваши велосипеды, как правило, дырявы совсем чуть-чуть менее чем полностью.

     
  • 2.41, Аноним (41), 11:41, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем же тогда придумали boost::program_options, gflags, cxxopts, тысячи их?
     
     
  • 3.59, Аноним (59), 12:18, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У приплюснутых свой путь.
     
     
  • 4.65, Урри (ok), 13:14, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Причем правильный.
    Думай как плюснутый, делай как плюснутый, будь плюснутым.
     
     
  • 5.70, Аноним (59), 14:09, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это вам так кажется. Для коммерческой разработки плюсы выбирают редко.
     
     
  • 6.72, Урри (ok), 14:18, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Для коммерческой разработки плюсы выбирают редко.

    Толще не могли?

     
     
  • 7.97, Аноним (97), 20:45, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Толще не могли?

    Отчего же, могу: с++ники суть те же лефтпадщики - на любой чих, например, файл прочитать или сокет открыть - тащат буст или т.п. ненужный винхлам. Таких в ядерщики не берут)

     
     
  • 8.106, n00by (ok), 08:09, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Фрагмент драйвера, удаляющий тело руткита code static bool carantine_file con... текст свёрнут, показать
     
  • 2.83, Roman (??), 16:14, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    getootlong тоже не просто так придумали
     
  • 2.128, Онаним (?), 00:49, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это называется «стандарты». Но вам, с деревьев, не понять, вы выше этого
     

  • 1.16, kusb (?), 08:03, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Опять. Без нарушений традицией. Значит всё как обычно. Радуюсь.
     
  • 1.19, Аноним (19), 08:36, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если подобное вытворяют любители, то на что тогда способны профессионалы?🤔
     
     
  • 2.73, ананоша (?), 14:20, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Профессионалы порядочные люди, сами используют нпм, поэтому и не гадят
     

  • 1.22, Аноним (22), 09:22, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Получил контроль на пакетом, но не смог опубликовать новую версию. Я думаю, что мы ещё услышим об этом злоумышленнике.
     
  • 1.23, Аноним (-), 09:51, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    никогда такого не было и вот опять, миллионы глаз чуть не ослепли от соринки. хорошо, что в пакетницах питона и раста такого нет
     
     
  • 2.77, FractaL (ok), 14:58, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Будет. Просто раст нафик пока не впал.
     
  • 2.88, Аноноша (?), 17:40, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > что в пакетницах питона и раста такого нет

    Откуда такая уверенность?

     

  • 1.24, Аноним (24), 10:03, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор точно уверен что npm поддерживает опцию "resolutions"?
     
     
  • 2.25, Аноним (24), 10:05, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По первой ссылке человек там говорил только про yarn.
     

  • 1.35, InuYasha (??), 11:14, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > При формировании пакета с вредоносным кодом была допущена ошибка

    mpv Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7.1_DBRip_loop.mkv

     
     
  • 2.58, Урри (ok), 12:18, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > mpv Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7.1_DBRip_loop.mkv

    Даже здесь вас учить надо....
    mpv --loop-file=inf Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7.1_DBRip.mkv

     
  • 2.107, шайтан (?), 14:59, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он сейчас Петра смешит.
     
  • 2.111, Аноним (51), 18:52, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    28 апреля 2021 года Хохотун скончался в Севилье на 65-м году жизни в результате осложнений после операции.
     
     
  • 3.119, InuYasha (??), 13:26, 08/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что не мешает ему оставаться нашим добрым мемом )
     

  • 1.36, макпыф (ok), 11:15, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    какие то странные хакеры - то исключение для стран СНГ делают, то криво пакеты собирают.
     
     
  • 2.52, Аноним (51), 12:10, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В первую очередь из-за геополитики. Во-вторых, из-за законов. В-третьих, некоторые избегают из-за патриотизма.
     

  • 1.46, Урри (ok), 11:48, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уважаемые анонимы, а не подскажет кто такое вот интересное:

    Есть ли в npm какой-то флажок, который будучи выставлен на сервере указывает всем обновляющим зависимости в данный момент npm, что вот этот вот пакет плохой, такой плохой что прям вот совсем-совсем и про него надо обязательно большими красными буквами написать в логах и, возможно, даже попищать динамиком?

     
     
  • 2.109, шайтан (?), 15:04, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Флажок на сервере раздающем пакеты должен стоять?Если да то тогда зачем раздавать плохие пакеты?
     
  • 2.126, Онаним (?), 00:41, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, есть. Даже 2.
    Скомпроментирован и устарел
    В данном случае версию пакета нахрен удаляют, потому что скомпроментирована, от беды
     

  • 1.76, Аноним (76), 14:47, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что не так с этими разработчиками, что они постоянно теряют контроль над своими репозиториями?
     
     
  • 2.92, Alexey (??), 18:50, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    интеллектуальная импотенция, однако
     
  • 2.108, шайтан (?), 15:01, 06/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Люди,сэр.
     
  • 2.127, Онаним (?), 00:47, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    только, аккаунтами
     

  • 1.82, adolfus (ok), 15:58, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это ккой такой rc?
    У меня в репозитории есть rc:

    $ rpm -qip rc
    ...
    Rc is a command interpreter for Plan 9 that provides similar facilities to UNIX's Bourne shell, with some small additions and less idiosyncratic syntax. This is a re-implementation for Unix, by Byron Rakitzis, of the Plan 9 shell.

     
     
  • 2.98, Аноним (98), 21:26, 05/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    s/rpm/npm ?
     

  • 1.87, макпыф (ok), 17:27, 05/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Злоумышленники выпустили обновления 1.2.9, 1.3.9 и 2.3.9 с тем же вредоносным кодом, а администрация NPM его заблокировала

    Тоже кривое?

     
  • 1.110, Аноним12345 (?), 16:14, 06/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сто раз подумай, прежде чем пользовать нпм
     
  • 1.116, Аноним (116), 08:17, 08/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Поэтому я не устанавливаю обычно пакеты с pypi (ну кроме гуглаговскового говна, собираемого базелем), а node.js вообще не пользуюсь.
     
  • 1.120, Рмшъ (?), 16:22, 08/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То ли этим людям деньги важнее развития человечества, то ли они готовы откатить айти в каменный век и лишить кучу людей работы, чтобы начать всё заново. Зачем они портят то, что не создавали? Лучше бы помогли улучшить.
     
     
  • 2.124, Аноноша (?), 04:18, 09/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > То ли этим людям деньги важнее развития человечества, то ли они готовы
    > откатить айти в каменный век и лишить кучу людей работы, чтобы
    > начать всё заново. Зачем они портят то, что не создавали? Лучше
    > бы помогли улучшить.

    Они помогают понять недостатки npm.

    Ну раз ты так веришь в людей, то в следующий раз не запирай дверь, выходя из дома.

     
  • 2.125, Аноним (-), 15:14, 09/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > То ли этим людям деньги важнее развития человечества,

    npm, google.. о каком еще развитии человечества речь ?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру