The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси

18.03.2022 07:30

В NPM-пакете node-ipc выявлено вредоносное изменение (CVE-2022-23812), с вероятностью 25% заменяющее на символ "❤️" содержимое всех файлов, к которым имеется доступ на запись. Вредоносный код активируется только при запуске на системах с IP-адресами из России или Беларуси. Пакет node-ipc насчитывает около миллиона загрузок в неделю и используется в качестве зависимости у 354 пакетов, включая vue-cli. Все проекты, которые имеют в зависимостях node-ipc, также подвержены проблеме.

Вредоносный код был размещён в репозитории NPM в составе выпусков node-ipc 10.1.1 и 10.1.2. В Git-репозитории проекта вредоносное изменение было размещено от имени автора проекта 11 дней назад. Определение страны в коде осуществлялось через обращение к сервису api.ipgeolocation.io. В настоящее время ключ, к которому осуществлялся доступ к API ipgeolocation.io из вредоносной вставки, отозван.

В комментариях к предупреждению о появлении сомнительного кода автор проекта заявил, что изменение сводятся к добавлению файла на рабочий стол, выводящего сообщение с призывом к миру. На деле в коде осуществлялся рекурсивный перебор каталогов с попыткой перезаписи всех встретившихся файлов.

Позднее в репозитории NPM были размещены выпуски node-ipc 11.0.0 и 11.1.0, в которых вместо встроенного вредоносного кода добавлена внешняя зависимость "peacenotwar", контролируемая тем же автором и предлагаемая для подключения сопровождающим пакетов, желающим присоединиться к протесту. Заявляется, что пакет peacenotwar лишь выводит сообщение о мире, но с учётом уже предпринятых автором действий дальнейшее содержимое пакета непредсказуемо и отсутствие деструктивных изменений не гарантируется.

Параллельно было выпущено обновление стабильной ветки node-ipc 9.2.2, которая используется проектом Vue.js. В новом выпуске в число зависимостей, помимо peacenotwar, также был добавлен пакет colors, автор которого в январе интегрировал в код деструктивные изменения. Лицензия на исходные тексты в новом выпуске была изменена с MIT на DBAD.

Так как дальнейшие действия автора непредсказуемы, пользователям node-ipc рекомендуется зафиксировать зависимости на версии 9.2.1. Зафиксировать версии также рекомендуется и для остальных разработок того же автора, который сопровождал 41 пакет. Некоторые из поддерживаемых тем же автором пакетов (js-queue, easy-stack, js-message, event-pubsub) имеют около миллиона загрузок в неделю.

Дополнение: фиксируются и другие попытки добавления в различные открытые пакеты действий, не связанных с прямой функциональностью приложений и привязанных к IP-адресам или системной локали. Наиболее безобидные из подобных изменений (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) сводятся к выводу призывов к прекращению войны для пользователей из России и Беларуси. При этом выявляются и более опасные проявления, например, в пакеты AWS Terraform modules добавлен шифровальщик и внесены политические ограничения в лицензию. В прошивки Tasmota для устройств ESP8266 и ESP32 встроена закладка, способная блокировать работу устройств. Предполагается, что подобная активность может серьёзно подорвать доверие к открытому ПО.

  1. Главная ссылка к новости (https://snyk.io/blog/peacenotw...)
  2. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
  3. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  4. OpenNews: В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в неделю, внедрено вредоносное ПО
  5. OpenNews: В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
  6. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
Автор новости: ad3pt
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/56870-node-ipc
Ключевые слова: node-ipc, npm, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (124) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, dullish (ok), 08:02, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +102 +/
    Хм... Разговоры наших чиновников о необходимости суверенных репозиториев уже не кажутся такими смешными. Не, конечно это не фига не поможет, но деньги теперь точно выделят.
    P.S. Идиоту сознательно гадящему в собственный код, от всей души, желаю частых но внезапных отключений питания, во время работы.
     
     
  • 2.2, Вован (??), 08:06, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Привет!
    https://gitflic.ru
     
     
  • 3.21, Жироватт (ok), 08:39, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    gitea/gogs на локальной машине.
     
  • 3.50, Аноним (50), 08:58, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К сожалению письма с подтверждением регистрации не могут прийти на *@yandex.ru. Но получилось с mail.ru.
    Автоматического обнаружения языка программирования нет, выбирается вручную. Доступны только приватные репозитории, остальные по каким-то там подпискам вроде.
    https://habr.com/ru/post/586100/ - утверждается, что они работают от себя, а не от государства.
     
     
  • 4.102, n00by (ok), 17:55, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Открытые доступны, а приватные ограничены 5-ю участниками на бесплатном тарифе.

    Регистрировался там с Яндекса три месяца назад. Создал публичный репозиторий. Для проверки сменил видимость, сделал приватным. Обратно не менялось тогда и сейчас, "данная функция временно недоступна". В поддержку не писал, решил таким образом проверить популярность. Создано это в расчёте на продажу услуг в образовательные учреждения, судя по главной странице и тарифам.

     
  • 3.111, bOOster (ok), 18:21, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Где юридические соглашения об отвественности хранилища и т.п.?
     
  • 2.7, Аноним (7), 08:15, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +14 +/
    До конца определятся независимые программисты, и те, кто всегда им притворялся.
     
     
  • 3.24, Жироватт (ok), 08:42, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +16 +/
    > До конца сепарируются неполитизированные энтузиасты (костяк, на котором держится все СПО) и те, кто им притворялся ради плюшек open-source-разраба: от "привилегий" до мизерной, вахтерской власти над своей частью коммунити и призрачной - над пользователями.

    Поправил.

     
     
  • 4.171, _kusb (ok), 08:36, 20/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обычные энтузиасты/люди могут быть политизированными. Начиная с какого-то уровня политических злодейств быть неполитизированным - аморально. Если политика убивает людей, то чтобы быть вне политики нужно пропускать мимо глаз убийства людей?
     
  • 2.28, vvm13 (?), 08:44, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А наполнять эти суверенные репозитории будет кто и чем?
    Свои аналоги всех этих пакетов кто напишет?
    Или просто скопировать несуверенное к себе? Но кто будет проверять?
     
     
  • 3.46, dullish (ok), 08:54, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это Вы мне оппонируете что-ли? Так я, вроде как, об этом же и написал.
     
  • 3.49, Жироватт (ok), 08:58, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    - Китаю яйцы не помешали заиметь свой гитхаб со всеми аналогами пакетов, часть из которых - взятый и доведенный до ума опенсорц с гитхаба
    - Те, кто и наполняет несуверенные репозитории. Кодом.
    - По китайской модели: скопировать и провести аудит.
     
     
  • 4.53, dullish (ok), 09:04, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Для этого нужно сперва КПК (партию, а не наладонник) завести. Которая даст поручение и проследит за выполнением. Затем жестоко покарает невиновных и щедро наградит непричастных.
    У нас, скорее всего, просто выделят мешок денег, посадят на него Чубайса и будут ждать когда он рассосётся (мешок, а не Чубайс, разумеется).
     
  • 4.82, arzeth (ok), 13:21, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С каких пор вливание стало называться наличием яйцев, слово 171 яйца 187 ... большой текст свёрнут, показать
     
  • 2.86, arzeth (ok), 13:36, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Хм... Разговоры наших чиновников о необходимости суверенных репозиториев уже не кажутся такими смешными.
    > наших

    Почему наших, если это всех людей касается? Неизвестно же, вдруг злокодер ошибся, и всех стран злокод касается. Или сайт-геолактор вдруг кривой (напр. старые БД) — неизвестно. Тут любой забоится использовать такие пакеты, не только из РФ и Беларуси.

    И как смена локации владельца сайта или разрабов сайта спасет-то? Вон, калифорниец в своем отечественном npm удалил свой leftpad.

     

  • 1.4, Аноним (4), 08:11, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Не новость. Продублирую свой пост:

    А теми временем в попенсорсе кипит нехилая борьба:
    https://github.com/vuejs/vue-cli/issues/7054
    https://github.com/RIAEvangelist/node-ipc/issues/233
    https://github.com/medikoo/es5-ext/commit/28de285ed433b45113

    https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9 кому надо больше вкусняшки.

    Обновляйтесь смело, это вам не клятая проприетарь, ага

     
     
  • 2.10, Аноним (4), 08:18, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9 - поправил ссылку
     
  • 2.15, Аноним (15), 08:24, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Ну-у. Ящик Пандоры открыт. Теперь любой разработчик будет считать себя вправе выражать свой протест против любых неугодных ему явлений таким образом. Новый виток развития СПО (а скорее - конца тех проектов СПО, которые не находятся в ведении фондов и корпораций - конец доверия самостоятельно занятым разработчикам). В корпорации ему вряд ли разрешат такое, еще и засудят, а тут - пожалуйста.
     
     
  • 3.31, Аноним (31), 08:46, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    create-react-app который разрабатывает facebook качает 20000 пакетов, в любом может появится rm -rf
     
  • 3.32, vvm13 (?), 08:46, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Вообще, то, нет. Т.е., этот ящик был не заперт в момент возникновения. Но неверно, что "Теперь любой разработчик будет считать себя вправе выражать свой протест против любых неугодных ему явлений таким образом.". А попросту говоря, это тупая безответственная брехня.
     
     
  • 4.36, Аноним (15), 08:49, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > Вообще, то, нет. Т.е.,

    да. Оригинальная манера вести дискуссию.

     
  • 3.72, Admino (ok), 12:59, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Теперь любой разработчик будет считать себя вправе выражать свой протест против любых неугодных ему явлений таким образом.

    Только не ему, а большим дядям с ключами от СМИ.

     
  • 3.176, freehck (ok), 19:24, 26/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты думаешь Бац https www electronic us blog war-in-ukraine Если ты из Ро... большой текст свёрнут, показать
     

  • 1.5, pashev.ru (?), 08:11, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я всё ещё не понимаю, а Белоруссию-то за что? 😂
     
     
  • 2.6, dullish (ok), 08:15, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Скорее всего автор просто не в курсе, что это отдельная независимая страна, которая в этой милой семейной разборке вообще не при делах. Но где-то слышал, что там страшный диктатор, который всех мускулинно угнетает.
     
     
  • 3.11, Аноним (11), 08:18, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну как не при делах-то коли одобрила на совете ООН операцию, тут к этому типу не придерешься
    другой вопрос что он Эритрею не добавил али КНДР)
     
     
  • 4.17, dullish (ok), 08:28, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Китай ещё нужно было присовокупить, который так хрустит попкорном, что аж уши закладывает. Ну и США с Европой, которые под собственный истеричный визг, энергично заливают пожар бензином. В общем, парень(?), похоже, может похвастаться промытостью мозгов, прям по Оруэллу.
     
  • 2.8, Анон_лукашевичус (?), 08:17, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    За компанию дружище, за компанию :)
     
  • 2.65, Morewind (ok), 11:43, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Она предоставляет аэродромы для авиации и дороги для армии. Наступление на Киев и поставки для войск ведутся процентов на 60 с территории Белоруссии.
     
     
  • 3.93, Аноним007 (ok), 14:29, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А чо с ростовской и белгородской областей не кошерно?
    Или ты путаешся в направлениях боевых действий?
     
     
  • 4.96, Morewind (ok), 14:53, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В Припять, Чернобыль, и дальше на северо-запад от Киева зашли как раз с территории Белоруссии. Авиация прилетает тоже с той же стороны в том числе.
     
  • 4.105, YetAnotherOnanym (ok), 18:04, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кагбэ, к Киеву оттуда ближе. И Бацьку вполне можно понять - Украина в своё время активно содействовала волнениям после президентских выборов в Беларуси. Так что это с его стороны своего рода ответочка еврохолопам.
     
     
  • 5.120, bugmenot (ok), 19:00, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Украина в своё время активно содействовала волнениям после президентских выборов в Беларуси

    Интересно как? Когда из Беларусии беженцев приютила или когда по телеку показали, что усатый не легитимный? Ну так он не только в Украине не легитимный. Запускаем ответочку и по другим странам, чего уж там.

    > Так что это с его стороны своего рода ответочка еврохолопам

    Сравнимаешь сам знаешь что с пальцем. Одно дело мультики по телевизу крутить, а другое дело базировать на своей территории войска, которые убивают людей.


    И кстати, "Будапештский меморандум". Мультики по телеку тогда тоже ответочка за меморандум. Логика тупейшая. Будь умнее.

     
     
  • 6.123, YetAnotherOnanym (ok), 19:11, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Интересно как?

    Долго объяснять. Да и разубеждать тебя незачем.

     
     
  • 7.125, bugmenot (ok), 19:15, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но согласись, что это разное
     

  • 1.18, Аноним (18), 08:32, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    дискредитация opensource в чистом виде
     
     
  • 2.52, Жироватт (ok), 09:01, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Она с начала 2010х идет.
     
  • 2.135, X86 (ok), 20:16, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да че уж тут, если дошло до "отследить адреса криптовалюты русских и забанить".
     
  • 2.139, vitalif (ok), 22:25, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Та хоспади, когда опенсорс пилит какой-то хрен сидящий на маке и попивающий смузи, чего от него ожидать, какие там у него ещё программистские идеалы... думаю Бабенцио как раз такой, в майкрософт таким прямая дорога
     

  • 1.19, Жироватт (ok), 08:38, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Ну в принципе, это было ожидаемо. Все к этому шло уже лет 10, первые открытые звоночки видел еще в 2013м. Скандалы с SWJ и та крупная попытка травли Столлмана были уже прорывом гнойника на раковом метастазе, любовно взрощенного западными корпорастами в СПО.

    Мэтью, прости нас, мы все про**али, этот рак теперь может излечить только полная зачистка. Ты был прав в своем "праве говорить".

     
  • 1.22, th3m3 (ok), 08:40, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    По сути - его нужно судить за вредоносное программное обеспечение.
     
     
  • 2.43, Аноним (4), 08:52, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А фиг знает. В лицухе любой знакомой мне софтины ясно и понятно прописан отказ от гарантий и мало ли что в УК РФ есть статья 273
     
     
  • 3.62, none7 (ok), 11:16, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Договора вообще совершенно не имеют силы при нарушении федерального законодательства. Никому из распространителей троянов ещё не помогла отписка отказа от гарантий, в случае проявления однозначной вредоносной активности. Строго говоря за парнем должно ФБР выехать, но учитывая ситуацию в мире, скорее всего закроют глаза на нарушение федерального закона США.
     
     
  • 4.140, vitalif (ok), 22:26, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну по сути если оно чисто случайно пошифрует данные какой-нибудь компании на территории США из-за ошибки определения признака Россия/Беларусь, то ФБР к нему выедет
     
  • 2.59, Fedd (ok), 11:05, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Достаточно будет закенселить все его поделия
     
  • 2.92, ptr (ok), 14:29, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А это уже есть. В США в ряде штатов вышеописанное действие называется computer contaminant и преследуется по закону.
     

  • 1.42, Аноним (42), 08:51, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    https://deno.land/ всем поможет защититься от запуска случайных скриптов из Интернета без ограничения привилегий.
     
  • 1.47, Аноним (31), 08:55, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Надеюсь хотябы в node.js rm -rf не запихнут.
    Год назад весь опенсорс выступал дружно за BLM, а теперь дружно удаляет файлы тем кто в России
     
     
  • 2.75, Admino (ok), 13:11, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Не ищи логики. Американский опенсорс выступает ровно за то же самое, за что выступает американский телевизор.
     
     
  • 3.100, bugmenot (ok), 17:11, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Американский опенсорс выступает ровно за то же самое, за что выступает американский телевизор.

    Хорошо, что у нас-то не так

     
     
  • 4.103, Admino (ok), 17:58, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да.
     
  • 4.108, n00by (ok), 18:13, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это смотря где. Самодуры из ООО НТЦ ИТ "Роса" удалили мои репозитории, скопировав из них нужное в дистрибутив (без моего кода он не устанавливался на NVMe, то есть по сути вообще не работал). Кстати, как раз вот этот Admino помогал им меня травить.
     
     
  • 5.119, bugmenot (ok), 18:50, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это прям куллстори)) Очень интересно. Хоть и грустно
     
     
  • 6.126, n00by (ok), 19:16, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самый кул в том, что в инсталляторе пришлось дописать всего-то строк 10 на Пёрле, я не знаю Пёрл, а у них в штате был перловик и пользователи просили почти два года. А потом эти деятели нашли в Mageia похожий патч и принялись утверждать, якобы бы я оттуда взял патч. :) Я бы сам никогда не поверил в такую историю, что подобное дно вообще возможно -- наверное, поэтому мне и пришлось в ней поучаствовать. Репозиторий удалили с объяснением "мало ли что от тебя ждать". Не иначе как git push-ем уронил бы им всё импортозамещение.
     
     
  • 7.132, bugmenot (ok), 19:42, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Фу, жесть :(
     
     
  • 8.156, n00by (ok), 09:27, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот поэтому героя новости я называю героем без особой иронии С моей точки зрени... текст свёрнут, показать
     
  • 2.106, YetAnotherOnanym (ok), 18:06, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Надейся, надейся :D
     

  • 1.58, Ilya Indigo (ok), 11:01, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Сколько и каких ещё нужно инцидентов, чтобы все уже поняли, что nodejs и всё его производное - это помойка, которой НЕ нужно пользоваться вообще!
     
     
  • 2.67, another_one (ok), 12:10, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В списке зловредов далеко не все для node. По твоей логике весь open source помойка...
     
     
  • 3.69, Тинус Лорвальдс (ok), 12:13, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > В списке зловредов далеко не все для node. По твоей логике весь
    > open source помойка...

    Отвечу за него. Не весь, но вэбня на вершине этой помойки.

     
     
  • 4.74, Ilya Indigo (ok), 13:06, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Отвечу за него. Не весь, но вэбня на вершине этой помойки.

    Не всё вебня.
    После появления AJAX и HTML5/CSS3б но до доминирования мобилочек и веяний Material Design-а от гугла web-разработка была шикарна, как и web-сайты того времени.
    Но вот в то время как появились мобилочки и nodejs, точнее производных от nodjs, всё и началось идти куда-то не туда!

     
     
  • 5.157, n00by (ok), 09:32, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > После появления AJAX и HTML5/CSS3б
    > CSS3б

    "Sам sебе здобный баратино" я понял, а что значит "C"?

     
  • 3.73, Ilya Indigo (ok), 12:59, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В списке зловредов далеко не все для node. По твоей логике весь
    > open source помойка...

    Я не говорил про весь open source!
    В span, pear, pecl в репозиториях openSUSE (за другие дистры не могу говорить) таких зловредов я не встречал, но вот в npn их вагон и постоянно появляются новые.

     
     
  • 4.144, onkeltem (ok), 23:09, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    pear, pecl? Ну ты вспомнил :) Да там просто никого нет, поэтому и проблем нет.
    composer возьми, будет то же самое, что и в npmjs.
    Проблема не npm, а в вероятности напороться на утырка, подобного обсуждаемому. Вероятность, очевидно, пропорциональна популярности репы. Npm-ная - самая массовая.
     
     
  • 5.147, Ilya Indigo (ok), 00:12, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Благодарю на composer и npm и на всё что без них не может обходится смотрю как ... большой текст свёрнут, показать
     
  • 3.107, YetAnotherOnanym (ok), 18:09, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > весь open source помойка

    Почти. За исключением той мизерной доли, которую рецензирует кто-то адекватный и компетентный. Сюрпрайз ))

     

  • 1.66, w201403 (ok), 11:53, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никто не знает, postfix тоже туда же? Не грузится сайт
     
     
  • 2.78, Admino (ok), 13:14, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    УМВР.

    https://downforeveryoneorjustme.com/postfix.org?proto=http&www=1

     
     
  • 3.131, w201403 (ok), 19:41, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > УМВР.
    > https://downforeveryoneorjustme.com/postfix.org?proto=http&www=1

    Ростелеком сказал — это нормально. Мол, иностранные сервера сейчас могут быть недо- или труднодоступны.
    Меня интересовало только, специально ли или по объективной причине недоступен postfix

     

  • 1.71, Skullnet (ok), 12:30, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это уже какой-то терорризм. За такое нужно по голове давать.
     
     
  • 2.118, bugmenot (ok), 18:49, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ой, да что вы говорите. А как бы вы назвали другие события происходящие в центре Европы?
     
     
  • 3.133, Admino (ok), 19:42, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А есть разница, где они происходят?
     
     
  • 4.152, bugmenot (ok), 02:21, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все зависит от входящих параметров. Например является ли твоя страна стороной конфликта. Мне огласить весь список?
     
     
  • 5.159, Admino (ok), 10:54, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все зависит от входящих параметров.

    Ну да, есть люди, а есть не люди. Не людей можно.

    https://ibb.co/pJWdX1W


     
  • 3.143, Skullnet (ok), 22:49, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А как бы вы назвали другие события происходящие в центре Европы?

    Передел рынка танками и солдатами. А на самом деле бункерному просто захотелось повоевать. Вирусня в софте никак не улучшит ситуацию.

     

  • 1.76, serge.zernov (ok), 13:13, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ашманов давно об этом орёт https://d-russia.ru/otkrytaja-haljava-i-besplatnyj-syr.html
    Пока сами российские корпорации не начнут этим заниматься ничего не изменится
     
  • 1.89, ip1982 (ok), 13:55, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё своё ношу с собою - https://git.pashev.ru
     
     
  • 2.145, onkeltem (ok), 23:13, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё своё ношу с собою - https://git.pashev.ru

    Это ещё хуже. Вот взбредет тебе в голову какая-нибудь ересь, как тебя проверить или на чистую воду вывести? Автора обсуждаемого косяка там хотя бы в каментах на гитхабе посрамили и минусов навтыкали, небось сейчас плачит сидит. Нет, уж лучше православный GitFlic!

     
  • 2.169, manster (ok), 23:35, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    + это форки пакетов которые используете?
    + а как же зависимости?
     

  • 1.90, ip1982 (ok), 13:58, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Рекомендую:

    # cat /etc/cron.daily/backup-home
    #!/bin/bash

    set -eux

    backupDir="/srv/backup/$(hostname)/home"
    mkdir -p "$backupDir"

    rdiff-backup \
      --exclude '**/*-new.mkv' \
      --exclude '**/*.deb' \
      --exclude '**/*.rpm' \
      --exclude '**/*.swp' \
      --exclude '**/*~' \
      --exclude '**/.cabal*' \
      --exclude '**/.cache' \
      --exclude '**/.cargo' \
      --exclude '**/.ccache' \
      --exclude '**/.ghc' \
      --exclude '**/.npm' \
      --exclude '**/.rustup' \
      --exclude '**/.stack*' \
      --exclude '**/100CANON' \
      --exclude '**/DOWNLOAD' \
      --exclude '**/VIDEO' \
      --exclude '**/VirtualBox VMs' \
      --exclude '**/_topdir' \
      --exclude '**/dist-newstyle' \
      --exclude '**/node_modules' \
      --exclude '**/target' \
      --exclude '**/tmp' \
      /home "$backupDir"

    rdiff-backup --force --remove-older-than 6M "$backupDir"


     
     
  • 2.91, ip1982 (ok), 13:59, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И то же самое раз в неделю на внешний диск. С шифрованием.
     
  • 2.142, Гентушник (ok), 22:45, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А потом вирусня идёт в /srv/backup/$(hostname)/home и всё там удаляет :)
     

  • 1.94, ptr (ok), 14:33, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Не плюй в колодец ..."
    Самое веселое будет, если сам автор ненароком поднимет VPN в Россию, получит российский IP адрес и его же код угробит его же файлы.
     
     
  • 2.112, dalexhz (ok), 18:24, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    На самом деле, главный прикол не в этом Просто теперь, посмотрев на этот гениал... большой текст свёрнут, показать
     
     
  • 3.115, bugmenot (ok), 18:47, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > то автор пакета за эту выходку уже был бы в розыске и затем при пересечении границы был бы арестован

    Пендос пересёк русскую границу и его арестовали? Бабушку что ли в Новосибе навещал?

    Что-то на уровне вот этого:

    > если сам автор ненароком поднимет VPN в Россию

     
  • 3.141, vitalif (ok), 22:28, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну конечно, видный попозиционер Бабенцио поедет в Россию. Он и не на Украине даже вроде, а где-то там в Норвегии или типа того
     
     
  • 4.160, Admino (ok), 10:54, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда станет оппозиционером, поедет. Сноуден же поехал.
     

  • 1.95, Михрютка (ok), 14:48, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    лол дорвались, партизаны мамкины.

    интересно, что год назад, когда похожую фигню устраивали борцы за blm и прочее lqbtепрстэ, мне тут тожэ доказывали, что это опенсосно и никто никому ничего не должен.

    в этот раз образцово порвался какой-то борец за права человека, который мониторил доступность чего-то изнутри Белоруссии.

    https://snippet.host/kvcb

    бэкапы традиционно йок.

    почему ойтишники выбирают для сопротивления самые ипнутые формы, вроде раскрашивания звездочки на рутрекере в цвета украинского флага? нет, чтоб как москаль мурз, идти в окопы шифрованную связь налаживать.

     
  • 1.98, bugmenot (ok), 17:08, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Всем "я вне политики" посвящается. А как эта самая политика коснулась, так давай нудить: "ой, а это же не правильно, не справедливо"
     
     
  • 2.113, dalexhz (ok), 18:34, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Всем "я вне политики" посвящается. А как эта самая политика коснулась, так
    > давай нудить: "ой, а это же не правильно, не справедливо"

    Как любопытно. Почти что похоже на оправдание уголовщины, совершенной автором пакета (273 статья УК РФ). Не хочешь ещё кого-то изнасиловать в знак протеста? Срок один фиг почти такой же.

     
     
  • 3.114, bugmenot (ok), 18:44, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не хочешь ещё кого-то изнасиловать в знак протеста?

    Не натягивай сову на глобус, пожалуйста. Одно дело стирать байтики, вывести плашечку, сраться в комментах или проводить миттинги, а второе дело убивать/бомбить/калечить людей.

     
     
  • 4.116, dalexhz (ok), 18:48, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Уголовщина есть уголовщина, тяжесть имеет значение, но последствия есть в любом ... большой текст свёрнут, показать
     
     
  • 5.124, bugmenot (ok), 19:13, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну смотри. Сейчас можно до усрачки философствовать про "уголовщина есть уголовщина" и прикрываться "откажет кардиостимулятор" (из-за rm -rf в нодовском пакете, лол), хотя в большинстве подобных случаев просто плачечки выводят о призыве к миру и на этом конец. Но когда ты сидишь в подвале поруразрушенного дома с 8-месячным ребёнком и женой, то rm -rf в нодовском пакете это такой пустяк. Больше шенсов, что вас живьём похоронет сегодня ночью вместе с выжившими соседями, чем "откажет кардиостимулятор".
     
     
  • 6.127, dalexhz (ok), 19:19, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот только к опенсорсу и неограниченному распространению дерьмокода, от которого... большой текст свёрнут, показать
     
     
  • 7.130, bugmenot (ok), 19:40, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По первому абзацу в целом можно согласиться.

    > президента Порошенко

    Ну так с него и спрашивай. Все остальные тут причём? К тому же там тоже украинцы как и здесь, которые также само сейчас сидят в подвалах, в лучшем лучае. Так что это нифига не бумеранг. Кто не был убит в 14-15, у того очень быстро выветрелось чувство свободы.

    > раз уж словами не доходит.

    Кому не доходит? Что не доходит?

    > Есть такие штуки, как эффект бумеранга и самая банальная месть

    Ох боюсь скоро и мне такое писать можно будет, особенно на фоне подобных новостей

    > и самая банальная месть

    Постой. Ты думаешь, что с Украиной сейчас воюет ЛДРН на стороне России?

     
  • 6.155, derfenix (ok), 02:46, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И вот ты вырвался с семьёй из подвала, бегом на вокзал, а там кассы не работают, потому что тупой код случайно дропнул и сервера украинской ЖД. Ну пустяк же. Зато у соседа больше серверов поломалось, жить стало легче.
     
  • 5.137, kitayec (ok), 21:02, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >кардиосимулятор сломается

    На всё воля Аллаха.
    В Библии и Каране законы божественные и фундоментальные.
    Все остадьные законы написанные людьми для угнетения.
    Если Бог дал возможность для поломки кардиосимулятора прими это как испытание. Ведь не бог создал кардиосимулятор, а жадный человек желающий жить вечно.
    Убивать плохо, а писать код нет.

     
  • 4.117, n00by (ok), 18:48, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почему тогда Байден был недоволен шифрованием файлов Colonial Pipeline?
     
     
  • 5.121, bugmenot (ok), 19:03, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разверни мысль. Я не в курсе про Colonial Pipeline
     
     
  • 6.128, dalexhz (ok), 19:28, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Разверни мысль. Я не в курсе про Colonial Pipeline

    Если вкратце, зашифровали файлы компании, занимающейся транспортировкой нефтепродуктов. В итоге целый штат встал, оставшись без бензина и керосина на несколько недель.

     
  • 6.129, n00by (ok), 19:34, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вымогатели зашифровали файлы Colonial Pipeline и требовали выкуп. Компания (крупнейший поставщик нефти на восточном побережье США) приостановила работу, власти ввели режим чрезвычайной ситуации. Байден тогда заявлял, что будет обсуждать вопрос с Путиным, поскольку считалось, что атаковала русская группировка DarkSide. Недавно ФСБ задержала группировку REVil по запросу США. До того сами США экстрадировали одного из членов группировки из Польши, поскольку тот оказался гражданином Украины.
     
  • 5.122, dalexhz (ok), 19:05, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему тогда Байден был недоволен шифрованием файлов Colonial Pipeline?

    Всегда есть аргументы «Это другое» и «своё не воняет».

     
  • 4.173, MelkorBSD (ok), 11:23, 20/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ...
    - Дедушка, а ты на войне убивал людей
    - Нет, фашистов убивал
    ...
     

  • 1.104, borbacuca (ok), 17:58, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ой минятозашо
     
  • 1.109, dalexhz (ok), 18:15, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Кстати, одна из причин, по которым для всех npm, golang, rust и тп проектов поднимаю отдельного юзера и запускаю их под ним. Нулевой уровень доверия сборной солянке из модулей, среди авторов которой может оказаться любой сумасшедший.
     
  • 1.110, dalexhz (ok), 18:16, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не умеют ничего, кроме как вонять на весь мир и разрушать даже такие простые и фундаментальные вещи, как опенсорс, своими озабоченностью и ограниченностью.
     
     
  • 2.138, kitayec (ok), 21:09, 18/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Опенсорс не может быть фундоментальным.
    Фундоментальные законы Бога.
    Не убий.
     
     
  • 3.158, n00by (ok), 09:39, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Опенсорс не может быть фундоментальным.
    > Фундоментальные законы Бога.
    > Не убий.

    Как раз этот закон ныне и исполняется. Взявшие меч, мечом гибнут.

     

  • 1.134, Ivan_83 (ok), 20:07, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я с тасмоты и так в общем то уходил на ESPHome, а учитывая какое там качество кода в приведённом коммите понятно что тасмота и не нужна.
     
  • 1.146, onkeltem (ok), 23:18, 18/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Товарищи, эта завуалированная реклама docker.
     
  • 1.154, fuggy (ok), 02:35, 19/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вон недавно Github приватизировал и забанил автора за внесённые им изменения в свой npm пакет. https://www.opennet.ru/opennews/art.shtml?num=56479 А тут такие деструктивные действия.
    И ему за это ничего не было, кроме заморозки версии? Это явное и умышленное действие спокойно попадает под УК статью про неправомерное уничтожение информации.

    С другой стороны внесение полит заявления в post-install многими рассматривается как вредоносные действия, если они не разделают их. Но при этом предложение задонатить автору на чашечку кофе, которое не имеет ни какого отношения к содержанию проекта для всех воспринимается нормально. Где проходит та черта?

    Что за культура пошла запускать приложения не просмотрев код. Базовая техника безопасности. Конечно это невозможно с npm, который тянет тысячи левых пакетов с парой неизвестных разрабочиков, которые могут добавить что угодно. Это всегда было и относится не только к свободным проектам, в любом проекте это может произойти. А тут все взяли и обиделись на само движение opensource. Угроза уязвимостей сейчас ничуть ни больше чем была раньше. Где культура разработчиков просмотривать код перед тем как его использовать, а любой похожий на обфусцированный код считать подозрительным. Чем короче и проще код, тем он надёжнее. Конечно с культорой пакетных менеджеров, которые качают и исполняют даже не килобайты, а мегабайты кода, который невозможно просмотреть глазами. Но вы сами к этому пришли.

     
     
  • 2.162, Минона (ok), 11:07, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шо ты несёшь?!
    Лично ты сколько кода ядра просмотрел, прежде чем его запустить? 🤣
     

  • 1.161, Минона (ok), 11:04, 19/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SJW-шки захватывают попенсорс.
    Здравый смысл отходит на второй план, печально…
     
  • 1.163, бубылдос (ok), 12:57, 19/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Дополните, у автора node-ipc взломали твиттер[1], а к нему домой ворвались люди и избили этого горе-хакера[2].

    [1] https://web.archive.org/web/20220319002246/https://twitter.com/electricCowboyR
    [2] https://www.itpro.co.uk/development/open-source/367129/open-source-dev-attacke

     
     
  • 2.164, Михрютка (ok), 14:12, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    врать-то не надо,

    "Miller told IT Pro that he had been swatted" не значит "к нему домой ворвались люди и избили этого горе-хакера"

    наоборот, это значит "памажити миням задоксили и пимшут гадости в моем римпозитории на гимпхаби"

    да и то задоксили - смешно сказать, лет десять назад потратил 50 баксов на какую-то онлайн драчильню. святой практически. ну вот теперь поимел свои 15 минут славы.

     
     
  • 3.166, Олег C (ok), 21:58, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > наоборот, это значит "памажити миням задоксили и пимшут гадости в моем римпозитории
    > на гимпхаби"

    To swat означает найти реальный адрес жертвы и вызвать по этому адресу полицию под видом жалобы на происшествие.

     
     
  • 4.170, Михрютка (ok), 23:46, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> наоборот, это значит "памажити миням задоксили и пимшут гадости в моем римпозитории
    >> на гимпхаби"
    > To swat означает найти реальный адрес жертвы и вызвать по этому адресу
    > полицию под видом жалобы на происшествие.

    нет, это означает "соврать копирайтеру, настрочившему заметку в itpro"

     
     
  • 5.174, Олег C (ok), 15:07, 20/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > нет, это означает "соврать копирайтеру, настрочившему заметку в itpro"

    Почему ты думаешь, что это вранье?

     
     
  • 6.175, Михрютка (ok), 18:48, 20/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    почему я не верю словам людей, которые врали и раньше? отличный вопрос.

    этот кекс уже врал на гитхабе, когда его за руку поймали. после этого я не верю ни одному его слову.

    правильный вопрос должен быть - почему _ты_ думаешь, что этот брехун вдруг начал говорить правду?

     

  • 1.165, Сейд (ok), 19:39, 19/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я, гражданин "Республики" Беларусь, одобряю действия автора проекта.
     
     
  • 2.167, IvanGorinich (ok), 22:10, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    https://t.me/svtvnews/4472

    Ой ой как-де так, эта библиотека потёрла весь архив преступлений в РБ и РФ. И получилось так что бекап не успели сделать, ведь их делают каждый месяц 20-го числа

     
     
  • 3.168, Сейд (ok), 22:41, 19/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Архивов предостаточно. Кстати, это фейк. Хранение архива преступлений на системах с IP-адресами из Беларуси невозможно. Тут судят людей даже за бело-красно-белую коробку от телевизора.
     

  • 1.172, camojiet (ok), 09:19, 20/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Футболку бы со Столлманом или Ассанжем в стиле Че Гевары.
    Считаю, что государство обязано проверять исходники и обеспечить себе репы. Та же астра линукс. Я бы и пользовался, внедрял, учил и учился. Сейчас надо переучиваться заменять rdp на spice vdi на базе проксмокса. А проксмокс - австрийский, и чего ждать от цивилизованных европейцев, бог их знает.
    А у астры есть какой-то аналог проксмокса. Хочется пощупать, но останавливает платность. И время бы нашёл и деньги на обучение и даже время, но покупать - никогда. Голый дебиан - и креститься перед обновлением.
    Против государства сейчас системно координируются атаки, в том числе в направлении создания геморроя не только гос органам. Я, как рядовой админ, готов обороняться, но без помощи государства сопротивление не будет носить системный характер и будет проигрывать оппонентам.
    Государство должно обеспечить стандартами, материалами. Нас нельзя взять с помощью автомата, а вот атаками - вполне. Если кто-то считает что в у нас много квалифицированных админов, то у меня для вас плохие новости. В моём ауле админов, умеющих делать хоть что-то не на винде 3 к 20 примерно. То есть 20 из 23 никогда не ставили Linux, и морщатся от его упоминания. Их нужно переучить до того как их зашифруют через какую нибудь дырочку в rdp или ещё где. Подгоревшие попы ещё впереди.


     



    Отправка комментариев в данном обсужеднии разрешена только зарегистрированным участникам.
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру