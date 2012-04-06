|
> червь поразил 187 пакетов в NPM
Не может быть! Никогда такого не было!
|2.12, Жироватт (ok), 10:14, 17/09/2025 [^] [^^] [^^^] [ответить]
И вот опять!
Но на этот раз не криптостиллер и не майнер - уже что-то новое
|3.26, Аноним (26), 12:05, 17/09/2025 [^] [^^] [^^^] [ответить]
> Дежурная шутка. Уже не смешно.
Для местной аудитории это вполне смешно и остроумно - вон сколько плюсиков понаставили.
|3.30, Жироватт (ok), 12:13, 17/09/2025 [^] [^^] [^^^] [ответить]
Дежурные шутки и не обязаны искриться остроумием и тонким саркастичным йумором.
|1.2, Аноним (-), 09:47, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
As of September 13, 2025, a specific count from "all-the-package-repos" indicates a total of 3,583,991 packages.
Из них червь поразил ЦЕЛЫХ 187 пакетов. Просто невероятно!
|2.4, ptr (ok), 09:59, 17/09/2025 [^] [^^] [^^^] [ответить]
> червь поразил
Как раз сколько он поразил неизвестно. Выявлено пораженных 187 пакетов. Так как червю пару недель от силы и для поражения пакета необходимо, чтобы его сопровождающий не только подцепил червя, но и запушил изменения, то это число выглядит совсем иначе.
> total of 3,583,991 packages
Подозреваю, что из этих пакетов подавляющее большинство не обновлялись годами, а уже за последние пару недель из них обновлялись несколько сотен.
|3.24, Аноним (24), 12:00, 17/09/2025 [^] [^^] [^^^] [ответить]
А как они выявляют заражение?
Сканируют каждый раз вручную весь репозитарий антивирусом?
|2.6, Аноним (6), 10:04, 17/09/2025 [^] [^^] [^^^] [ответить]
Ну да учитывая что даже самый захудалый проектик способен подтянуть десятки тысяч зависимостей (зависимостей зависимостей n+1). То шанс вляпаться в зараженный пакет, достаточно большой.
|1.3, Аноним (3), 09:56, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
> Среди прочего, в результате активности червя поражёнными оказались 25 пакетов компании CrowdStrike, развивающей инструменты для защиты от атак через зависимости
Невероятно
|2.19, Аноним (19), 11:55, 17/09/2025 [^] [^^] [^^^] [ответить]
Автоматизация распространения вредоноса - да.
пс: очередной неруззкий чебурашка.
|1.10, freehck (ok), 10:13, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
> В ходе новой атаки после получения параметров учётной записи сопровождающего в ретзультате фишинга, атакующие публикуют релиз пакета с червём, который активируется при установке скомпрометированного пакета в числе зависимостей. После активации червь осуществляет поиск учётных данных в текущем окружении, загружая и запуская утилиту TruffleHog. В случае обнаружения токена подключения к каталогу NPM червь автоматически публикует новый вредоносный релиз и по цепочке поражает дерево зависимостей. Помимо токена доступа к NPM червь сохраняет ключи доступа к GitHub и облачным сервисам AWS, Azure и GCP (Google Cloud Platform), а также другие конфиденциальные данные, которые способен обнаружить сканер TruffleHog.
Какие молодцы! Нет, ну серьёзно, они реально озаботились тем, чтобы подставлять зловреда как можно незаметнее: мало того, что всего-то лишь добавляют строчку в список зависимостей, коих в package.json и без того немало, так ещё и делают валидные релизы.
|1.11, Аноним (11), 10:13, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
Все почему? А потому что в JS принято обновлять все npm в слепую. Так как там тысячи пакетов v0.x.x с такими же зависимостями, обновляющиеся каждый день по нескольку раз.
Появление червя был лишь вопросом времени.
|2.28, Веб разработчик (?), 12:09, 17/09/2025 [^] [^^] [^^^] [ответить]
А где не так? в Rust пакеты точно так тянуться из cargo, в Go вообще с гитхаба, в Python pypi, в ruby gem, в PHP packagist, только в C диды ручками файлики подкладывают
|3.29, Аноним (29), 12:10, 17/09/2025 [^] [^^] [^^^] [ответить]
Прямо с языка сорвал.
Я, когда читал описание, то-же подумал: какой, однако, мощный язык JS!
|1.15, Аноним (15), 11:13, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
Мне вот реально интересно. А кто то этим пользуется? Ибо чето как то стремно становится за всякие гос. сервисы. Вчера например как раз столкнулся с тем, что страничка одного гос. сайта на React грузила при каждом чихе браузер на 100% секунды на 3. Но вроде проверил ее на спец. сайтах и ничего не нашло. Просто кривые руки?
|2.27, Аноним (27), 12:08, 17/09/2025 [^] [^^] [^^^] [ответить]
А еще интересно кто за этим стоит, и какая цель. Смешно будет если это делает подвальный хвкер, ради фана. Или вообще диверсия от разработчика, чтобы все этого npm'а шарахались.
|2.21, Аноним (24), 11:56, 17/09/2025 [^] [^^] [^^^] [ответить]
Только корпы и неумехи, которым жалко показывать что же они там навасянокодили.
|1.20, Аноним (24), 11:55, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
Как опять?
Че они не пристрелят этот завирусованный НПМ, ну или сопровождающих?
|1.23, Аноним (27), 11:59, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
Это уже серьезно - стоит задуматься от отказа от подобных моделей растпространения пакетов.
Возможно сам червь и не серьезнн, но вот тенденция - сколько уже новостей было. Ощущение такое, что там у них дуршлаг, ибо из раза в раз повторяется одно и то же.
|2.31, Аноним (31), 12:18, 17/09/2025 [^] [^^] [^^^] [ответить]
Так основная беда в прокладке между монитором и клавиатурой, которую на фишинг подлавливают.
|1.25, Аноним (24), 12:03, 17/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
>которые способен обнаружить сканер TruffleHog
Не пора ли объявить указанный пакет зловредом в их репозитарии?
Или будут продолжать жрать кактус и выкапывать стюардессу...
