https://www.opennet.me/openforum/vsluhforumID3/139661.html Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов - с 03:21 по 6:15 (MSK)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65109<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#56 Fri, 03 Apr 2026 10:42:26 GMT &gt;Вообще бред. Сборка проектов в ад превратится.<br><br>Да, сборка проекта с тыщей вложенных зависимостей превратится в ад. Она и должна быть адом. Точнее она уже сейчас есть ад, прикрытый листочком из npm. И черти из этого ада регулярно лезут вам в виде дырявых axios, таких же дырявых как те, кому ой так удобно пакетик через npm install ставить.<br><br>Нормально когда у жирного проекта 10-20 зависимостей. А когда у приложухи с двумя кнопками несколько сотен вложенных, из которых 50% это axios и leftpad из одной строчки это уже ад.<br><br>&gt;Или еще точнее проблема в дизайне головы любителей пакетных менеджеров.<br>&gt;Вообще бред.<br><br>My sweet npm child. Вы только посмотрите, этот гений релаьно думает что бездумно ставить миллион пакетов через npm install вместо вендроринга в своей репе это нормальный подход к разработке. Ты просто не застал время, когда программерская туса состояла из специалистов, а не нормисов которые в компах шарям меньше чем офисная тетя срака из 2005ого.<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#55 Fri, 03 Apr 2026 10:29:29 GMT Да, про вендоринг по дефолту забыл написать<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#54 Fri, 03 Apr 2026 05:43:21 GMT &gt; 2. Строгие версии зависимостей по дефолту. Сейчас по дефолту пакеты пихаются в зависимости с версиями типа ^4.0 и потом кто0то пихает пакет с версией 4.0.1 с вредоносом. И он автоматом скачивается у всех, кто жестко версию не зафиксировал.<br><br>А потом начинается цирк с конями, как это в pip, когда зависимости неудовлетворяются и единственный способ починить -- указать нестрогую зависимость.<br><br>&gt; 3. Никаких вложеных зависимостей. Конечный проект может иметь зависимости, либа - нет. Хочешь пихнуть зависимость в либу, пиши в ридми и пусть юзеры руками ставят. Как например на сях, есть libzip ей нужна в зависимости libz, и ты руками кладешь в проект обе.<br><br>Вообще бред. Сборка проектов в ад превратится.<br><br>&gt; 1. Никаких pre и post-install скриптов в пакетном менеджере, вообще. <br><br>Ну тут согласен, сборка должна быть исключительно декларативной, без баш-портянок.<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#53 Fri, 03 Apr 2026 01:59:38 GMT В плане дизайна мне нравится подход Zig и Go - нет централизованного хранилища, все фиксируется строго и помимо скачивания исходников ничего не происходит. В первом ещё хотят вернутся к Сишной традиции вендоринга - чтобы зависимости были внутри проекта, а не где-то в кэше.<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#52 Thu, 02 Apr 2026 19:36:58 GMT &gt; Мимо. В случаях с crates.io был только тайпсквоттинг.<br><br>ты можешь называть своё порванное очко как тебе заблагорассудится<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#51 Thu, 02 Apr 2026 12:27:22 GMT &gt; Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу? <br><br>Немного не так.<br><br>Издалека показывают палец и ждут, когда ты сам подойдёшь, а далее к тебе сзади подходит чёрный властелин и начинает тебя любить.<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#50 Thu, 02 Apr 2026 12:01:04 GMT Это никак не поможет, потому что проблема не там. Проблема в дизайне npm. Или точнее в дизайне пакетных менеджеров. Или еще точнее в дизайне головы любителей пакетных менеджеров.<br><br>Поможет вот что:<br>1. Никаких pre и post-install скриптов в пакетном менеджере, вообще. И никаких автоматических вызовов скриптов. Юзерам надо - пусть руками вызывают, это редкие кейсы. <br><br>В npm pre и post-instal по дефолту включены.<br><br>2. Строгие версии зависимостей по дефолту. Сейчас по дефолту пакеты пихаются в зависимости с версиями типа ^4.0 и потом кто0то пихает пакет с версией 4.0.1 с вредоносом. И он автоматом скачивается у всех, кто жестко версию не зафиксировал. <br><br>А еще лучше вообще никаких нестрогих версий зависимостей в менеджере.<br><br>3. Никаких вложеных зависимостей. Конечный проект может иметь зависимости, либа - нет. Хочешь пихнуть зависимость в либу, пиши в ридми и пусть юзеры руками ставят. Как например на сях, есть libzip ей нужна в зависимости libz, и ты руками кладешь в проект обе.<br><br>4. Доступ к fs и инету в https://www.opennet.me/openforum/vsluhforumID3/139661.html#49 Thu, 02 Apr 2026 10:38:18 GMT &gt;активировался после завершения установки NPM-пакета через обработчик postinstall<br><br>Pre-install, post-install, автоматические и вложенные зависимости это одна сплошная дыра и одно из худших технических решений за всю историю. <br><br>А в линуксах это все говно еще и от рута запускается<br> https://www.opennet.me/openforum/vsluhforumID3/139661.html#48 Wed, 01 Apr 2026 14:57:17 GMT Будут, но реже.<br>