| |
| 2.13, Аноним (13), 23:58, 01/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> в принадлежащих компании Red Hat репозиториях RedHatInsights, злоумышленники смогли опубликовать в каталоге NPM 64 вредоносные версии
Когда все силы брошены в раст, системду и вейленд, получаем то, что получили.
| | |
| 2.19, Аноним (19), 01:50, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Как-то несерьёзно, что великий и могучий IBM пользуется мусоркой от microsoft. Или кому там сейчас принадлежит GitHub...
| | |
|
| 1.4, Аркагоблин (?), 23:36, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Новости про взломы пакетов в NPM и PyPi уже можно в мемы оформлять, насколько это часто и однотипно случается
| | |
| |
| 2.21, Аноним (19), 01:54, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Мем - это что-то неординарное, удивляющее своей невиданной несовместимостью с обыденностью. Вроде перла автовазовского откормленного хомяка: "можем, а зачем".
А тут это уже какой-то бородатый анекдот, от которого и не смешно вовсе.
| | |
|
| 1.5, Аноним (5), 23:43, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Это корпорасты с краудстрайками, групповыми политиками и прочими ендпоинтами. Если черви и их прогрызли, то есть ли где-то вообще островок безопасности? Можно ли работать с NPM и не получить червя?
| | |
| |
| |
| 3.24, Аноним (19), 01:57, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Чем больше область доверия, тем больше область атаки. Прямой корреляции с количеством компонент в безопасности нет.
| | |
|
|
| 1.7, Аноним (7), 23:45, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На хакерньюс советуют выкинуть npm и использовать pnpm, в котором preinstall скрипты по умолчанию отключены.
| | |
| |
| 2.9, Аноним83 (?), 23:53, 01/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну отключены преинсталл, оно соберётся же и запустится, и всё равно сделает то что там запрогали.
| | |
| 2.12, анони (?), 23:56, 01/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
pnpm, это который от неадеквата? Ну, удачи при выборе из двух стульев
| | |
|
| 1.10, нах. (?), 23:56, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
а кто понял кто на ком стоял и что это за нафиг вообще был такой? В смысле, что это вообще за скрипты, каким васянам и зачем они ненужно?
(это не кусок опенштифта, это вообще что за фигня-то?)
| | |
| 1.11, Аноним83 (?), 23:56, 01/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Такими темпами скоро гитхуб начнёт не только 2фа требовать но и приложить ID смарткарту (пасспорт) на кардридер для осуществления коммита.
Потом начнут требовать приносить подписаннаую у нотариуса распечатку коммита в специальный центр...
В общем оно никогда не кончится, и случается даже с приличными проектами на С, просто совсем-совсем редко.
| | |
| 1.14, Аноним (14), 00:07, 02/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"в результате компрометации учётной записи одного из сотрудников Red Hat"
Хочется спросить вот вы там берете деньги с клиентов, а у вас хватило денег купить каждому ответственному сотруднику физический ключ второго фактора?
Или эти правила не для вас?
| | |
| |
| 2.15, Аноним (15), 00:16, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Хочется спросить вот вы там берете деньги с клиентов, а у вас хватило денег купить каждому ответственному сотруднику физический ключ второго фактора?
Да они просто зацензурят везде (в том числе и тут). Нет новостей, нет проблем. На самом деле очень важно понять как изначально они сделали это, может просто бабла ему кинули, может он за лейоф отомстил и т.д. И про это молчат как рыбы.
В самом худшем случае, можно все пакет манагеры для всех языков удалять. Слишком много таких событий, наверняка правило 7 (или сколько там было) скачков в соц графе и в мире софта работает. То есть любой пакет может стать в любой момент вредоносным.
| | |
| |
| 3.17, Аноним (13), 00:20, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> любой пакет может стать в любой момент вредоносным.
Да уже считай карго крейты с червячками.
| | |
| 3.23, Аноним (23), 01:55, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
а почему только пакет? десятки тысяч людей пришли в ит, дизайнеры и аниматоры и питонщики и датасаентисты, открывают все подряд, и ехешники, и джпеги и письма с непонятным адресом и урлы с фишинговыми сайтами, пакет просто один из вариантов.
+ это раньше на каждом 2 сайте крутили баннеры с клубничкой, и предсказаниями ванги, и одно неверное движение открывало миллион окон с тем самым, а теперь кругом сплошные щиты и надписи что доктор вебушка там все лично проверил, а уж ркн как постарался, тут захочешь вирусятины не найдешь. конечно никто и не смотрит что там и откуда, привыкли к рафинированному вэбу, поэтому таргетированный социнжиниринг стал чертовски эффективным. собрать инфы про сотрудника в соц.сетях и прочих осинтах как нефег, а представиться школькой училкой ребенка, или авдотьей никитишной, соседкой с 3его этажа, или черт знает кем еще вообще не проблема.
это буквально тот случай, когда улицы моют с шапнунем, чтобы крысы чуму не переносили, а народ начинает облизывать бордюры, ну чистые же, и кроме чумы там оказывается есть более интересные организмы против которых средства от чумы не работают.
| | |
|
| 2.16, Аноним (13), 00:18, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> физический ключ
Думаете, RH-сотрудники не смогут его потерять?
| | |
| 2.25, Аноним (19), 02:00, 02/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Посвятите в Ваш арго. Что есть "физический ключ ВТОРОГО ФАКТОРА"?
| | |
|
|
