forum.opennet.ru - "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю" (99)

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю"	+/–
Сообщение от opennews (??), 09-Сен-25, 08:58
В результате фишинга атакующим удалось перехватить учётные данные сопровождающих 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный код. Это самая крупная атака на репозиторий NPM, которая затрагивает не только напрямую атакованные проекты, но сотни тысяч пакетов, зависимых от них... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63845
Ответить \| Правка \| Cообщить модератору

Оглавление

Я человек простой вижу в письме слово сесьюрити - сразу ввожу логин-пароль, что, Аноним (1), 08:58 , 09-Сен-25, (1) +36

Ну а кто мы такие чтобы задавать вопросы Нам сказали мы сделали Мы люди малень, Аноним (4), 09:06 , 09-Сен-25, (4) +9

Ну, нас постоянно к этому приучают Это же удобно, когда о твоей безопасности ду, Аноним (9), 09:20 , 09-Сен-25, (9) +15

Как экспертам в студии на опеннете , Аноним (46), 13:01 , 09-Сен-25, (46) –1

А вы уверены, что они не боты , pic (??), 16:56 , 09-Сен-25, (71)

вопрос к МС, не ко мне, Аноним (46), 23:37 , 09-Сен-25, (93)

Это письмо от раст фаундейшн , Аноним (15), 10:06 , 09-Сен-25, (15) –3
Ну чё ты такой простой, установи Касперский и будет тебе эвристический анализ, pic (??), 16:55 , 09-Сен-25, (70)

теперь мой пароль знает еще и касперский а, впрочем он его наверное и так , пох. (?), 18:50 , 09-Сен-25, (82)

Никогда такого не было и вот опять , Аноним (2), 09:04 , 09-Сен-25, (2) +4
Новость прлаётся так как будто это какая-то неожиданность , Аноним (4), 09:05 , 09-Сен-25, (3) –3

Эта новость для того, чтобы люди перепроверили, нет ли у них скомпрометированной, Аноним (64), 16:03 , 09-Сен-25, (64) +3

Отлично-отлично Хламопомойки полезны для непрерывной интеграции малвари Очень , Tron is Whistling (?), 09:10 , 09-Сен-25, (5)

Напомни, откуда ты там в своем Линуксе пакеты ставишь Или вы не понимаете - эт, Аноним (7), 09:12 , 09-Сен-25, (7) +6

Я ставлю отсюдаhttps download etersoft ruИ да это совсем другое , AleksK (ok), 09:17 , 09-Сен-25, (8) –3

Спасибо за ссылку, конечно Но его там нет , Аноним (11), 09:25 , 09-Сен-25, (11) –1

Кого нет , AleksK (ok), 09:36 , 09-Сен-25, (12)

Здравого смысла , Аноним (19), 10:26 , 09-Сен-25, (19) +1

Черного кота в черной комнате найти можно, достаточно сказать кыссс-кыссс , Аноним (46), 13:03 , 09-Сен-25, (47)

Не все коты откликаются, когда их зовут Особенно, если они глухие , Аноним (78), 18:23 , 09-Сен-25, (78) –2

считай и кота нет, хотя достаточно туда запустить собаку , Аноним (46), 23:40 , 09-Сен-25, (94) –1

И в чем отличия Ну, кроме того, что репу сделала отечественная коммерческая конт, Аноним (7), 11:06 , 09-Сен-25, (24)

Отличие в том что я ни разу не видел новости что у них что-то взломали, и добави, AleksK (ok), 12:06 , 09-Сен-25, (33) –4

Сколько у них юзеров А сколько юзеров у нпм, гитхаба или гитлаба Будет ли об это, Аноним (-), 12:14 , 09-Сен-25, (39) –3

Кто Что за libux kernel , AleksK (ok), 12:34 , 09-Сен-25, (42) +1

Так я ни разу не видел новости, чтобы взломали репы Debian или Ubuntu Но ты поч, Аноним (7), 13:05 , 09-Сен-25, (51) +2

Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики, User (??), 10:25 , 09-Сен-25, (18) +2

сссссс , пох. (?), 18:51 , 09-Сен-25, (83)

При этом письмо пришло 8 сентября Т е за 2 дня до якобы блокировки И чел даже, Аноним (7), 09:11 , 09-Сен-25, (6) +3

А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а , Аноним (10), 09:23 , 09-Сен-25, (10) +4

За нас у же все подумали - за целых два дня прислали Осталось только ввести лог, Аноним (43), 12:52 , 09-Сен-25, (43)

А что ты хотел от людей, которые только и делают, что обновляют зависимости У т, Кошкажена (?), 16:04 , 09-Сен-25, (65) +3
Требование вполне в духе современных сервисов , Аноним (73), 17:07 , 09-Сен-25, (73) +2

Не, ну я бы тоже насторожился - чего вдруг за аж два дня Вот если б за два часа, пох. (?), 18:52 , 09-Сен-25, (84)

Я вижу вы незнакомы с технологией one-time password, 19295 (?), 00:31 , 10-Сен-25, (95)

Ну со многих контор те же Госуслуги, но и крупных частников полно уведомление, Смузихлеб забывший пароль (?), 09:52 , 10-Сен-25, (105) +2

Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнте, Анонимный эксперт (?), 09:54 , 09-Сен-25, (13)

энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время , Аноним (20), 10:33 , 09-Сен-25, (20)
Если ты такой умный, то почему ты не энтерпрайз , Аноним (32), 12:04 , 09-Сен-25, (32)
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнте, Tron is Whistling (?), 13:56 , 09-Сен-25, (58) –1
Всё так и было Человек из новости после такого обучения получил письмо о необхо, Аноним (118), 14:19 , 10-Сен-25, (118)

И это называется двухфакторная авторизация Два фактора потому и два, что он, Аноним (-), 09:58 , 09-Сен-25, (14) –2

Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть Как ты дум, User (??), 10:23 , 09-Сен-25, (16)
Так они и независимы Видишь ли, двуфакторка сделана в первую очередь для защиты, Аноним (7), 10:24 , 09-Сен-25, (17)

а два миллиарда_загрузок_в_неделю никого не смущают не подозрительно многовато , Аноним (21), 10:40 , 09-Сен-25, (21)

Слышал когда-нибудь о CI CD , Anonim (??), 11:02 , 09-Сен-25, (22) +3
Люди любят красить буквы , Аноним (23), 11:06 , 09-Сен-25, (23) +1
Там боты загружают новую версию JS пакета, если видят изменение версии в репозит, Аноним (43), 12:56 , 09-Сен-25, (44) +1
Мне больше нравятся почти 130 тысяч зависимостей у пакета, Fracta1L (ok), 09:23 , 10-Сен-25, (101) +1

Консольные приложения на javascript Дожили , Аноним (25), 11:10 , 09-Сен-25, (25) +1

По сути запускается браузер, чтоб выполнить консольную программу , Аноним (25), 11:10 , 09-Сен-25, (26) +1

Нет там никакого браузера, просто нода в tty текст выводит , Аноним (36), 12:09 , 09-Сен-25, (36) –1

Не холивара ради, а исторической справки для Консольные программы на js появилис, Аноним Анонимович Анонимов (?), 11:34 , 09-Сен-25, (29) +2

Только вот лучше б там и остались Открываешь какой нибудь клаудкод, а у него ме, нейм (?), 23:25 , 09-Сен-25, (92)
И кто говорил что это правильно , Аноним (25), 09:42 , 10-Сен-25, (102)

Значит питон, перл и прочие баг портянки тебя не смущают , Аноним (36), 12:10 , 09-Сен-25, (37) +1

Для смущения нужно чтобы сознание как-то участвовало в процессе А он увидел зна, Аноним (74), 17:26 , 09-Сен-25, (74) +1
У питона нормальный интерпретатор У js это браузер, по сути, со своей виртуальн, Аноним (25), 09:44 , 10-Сен-25, (103) +1

Откуда в ноде браузер, опеннет продолжает поражать своей икспертностью , Аноним (36), 22:14 , 10-Сен-25, (121)

Всё ещё верят в 2Fa аутоидентификацию А , завтра оператор сотовой заблокирует , Рандом (?), 11:29 , 09-Сен-25, (27) –2

Sms это и не 2fa На случай утраты доступа есть листок с распечатанными одноразо, Аноним (30), 11:40 , 09-Сен-25, (30) +1
Не, ну использовать в качестве второго фактора - _принципиально_ не принадлежа, User (??), 12:09 , 09-Сен-25, (35) +1

С рождения тебе принадлежит только лицо и голос, так что давайте все недовольные, Кексперт (?), 18:40 , 09-Сен-25, (79)

Ну если понятия не имеешь о том, как обрабатывается и для чего используется биом, User (??), 07:13 , 10-Сен-25, (97)

Напомнило мне мою историю с внезапным выпуском еще одной платежной карты к моему, Аноним (43), 13:05 , 09-Сен-25, (50)

У меня был прикол что в сбере какого-то пенсионера привязали к моему номеру без , Аноним (30), 01:08 , 10-Сен-25, (96)

Если кто-то повёлся, навсегда занести их в чёрный список Как умственнонеполноце, Аноним (30), 11:30 , 09-Сен-25, (28)

victim blaming Не, не слышал - с хорошими девочками плохие вещи не случаются , User (??), 12:01 , 09-Сен-25, (31)

Это самый примитивный фишинг, старо как интернет Кого тут стоит винить, так это, Аноним (30), 12:25 , 09-Сен-25, (40) –1

Можно написать скрипт, который будет отправлять письма по одному А если вообще з, Аноним (-), 12:28 , 09-Сен-25, (41)
Да-да, самадуравиновата И вот велосипедисты, ой, электросамокатчики еще - все з, User (??), 13:52 , 09-Сен-25, (56) +1

А кто виноват И не хочешь ли ты сказать, что всё зло от того, что велосипедисто, Аноним (30), 15:20 , 09-Сен-25, (61)

Да-да, и вот сишников за выход за пределы буфера всенепременно на мороз - ну дет, User (??), 16:18 , 09-Сен-25, (66) –2

Может лучше скаммеров сажать и с преступностью бороться Не, ерунда какая-то, лу, Аноним (74), 17:42 , 09-Сен-25, (75) +5

О,новый лефтпад Что это за нескучный язычок такой, что нужен _внешний_ модуль, , Аноним (45), 12:59 , 09-Сен-25, (45) –1

Он не тип переменной проверяет Ох уж эти иксперты , Аноним (36), 13:54 , 09-Сен-25, (57)

У него же там батарейки в комплекте, а такую фигню не проверяет иксперты - это в, Аноним (15), 19:22 , 09-Сен-25, (86) –1

Он проверяет, может ли объект быть использован как массив Целых 9 LOC , Аноним (-), 18:20 , 09-Сен-25, (77) +2
Это не тип переменной, это не массивы , которые, тем не менее, можно кормить в , Аноним (120), 15:47 , 10-Сен-25, (120) +1

Странное дело В силу профессиональной деятельности указанный гражданин не мог н, Аноним (48), 13:04 , 09-Сен-25, (48) +2
CСпрашивается, что вы хотите от пользователей, бабушек и т д Тут девелоперы в, Pahanivo (ok), 13:16 , 09-Сен-25, (52)

Большинство из них кроме небольшого количества, занятого разработкой достаточно, User (??), 07:24 , 10-Сен-25, (98) +1

В первых я говорил про нифига не специфические вещи - я говорил про базовый скил, Pahanivo (ok), 14:11 , 10-Сен-25, (117) –1

Список скомпромитированных пакетов состоит из каких-то велосипедов Нормальный ч, Кошкажена (?), 15:56 , 09-Сен-25, (63)

Ну lefpad же Зачем писать 5 строчек - это же надо МНУ теребить А так скачал и, 1 (??), 10:16 , 10-Сен-25, (107) +1

вот поэтому я при получении таких писем иду в браузер и захожу на сайт руками н, 12yoexpert (ok), 16:33 , 09-Сен-25, (67)

дык, а толку-то когда половина инструкций начинается с установите npm н, пох. (?), 18:48 , 09-Сен-25, (80) +1

curl 124 sudo bash - это 5, конечно Такое мощщщщное заклинание Второе, утыкать, 1 (??), 10:19 , 10-Сен-25, (108)

Скрыто модератором, Аноним (118), 14:31 , 10-Сен-25, (119)

Всё движется к тому, что со временем в NPM будут находить нескопрометированные п, Аноним (68), 16:40 , 09-Сен-25, (68)

И это будет сенсация , 1 (??), 10:19 , 10-Сен-25, (109)

Не перечесть сколько ещё учётных записей присоединилось к различным проектам, чт, Аноним (76), 17:46 , 09-Сен-25, (76)

зачем им Судя по новости - просто используй пароль 123 К какому-нибудь лефтпад, пох. (?), 18:49 , 09-Сен-25, (81)

Ничего удивительного в этом нет , Аноним (88), 20:02 , 09-Сен-25, (88)
Вот и что делать Если в письмах делать ссылки, то люди привыкают не глядя их жма, Аноним (89), 22:03 , 09-Сен-25, (89)

Очевидно, что - проксировать каждое письмо через товарища майора, он проверит, е, Аноним (100), 08:42 , 10-Сен-25, (100)

Чем там прикрывался Гитхаб, принудительно внедряя 2FA Это для вашей же безопас, Аноним (100), 08:36 , 10-Сен-25, (99)
Письму в принципе мало доверия Вместо перехода по ссылке использую адрес из ист, Аноним (106), 10:05 , 10-Сен-25, (106)
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём После, Аноним (110), 10:43 , 10-Сен-25, (110)

Сообщения [Сортировка по времени | RSS]

1. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +36 +/–

Сообщение от Аноним (1), 09-Сен-25, 08:58

Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.

Ответить | Правка | Наверх | Cообщить модератору

4. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +9 +/–

Сообщение от Аноним (4), 09-Сен-25, 09:06

Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.

Ответить | Правка | Наверх | Cообщить модератору

9. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +15 +/–

Сообщение от Аноним (9), 09-Сен-25, 09:20

Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.

Ответить | Правка | Наверх | Cообщить модератору

46. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (46), 09-Сен-25, 13:01

> Профессионалам-то точно можно верить.
Как экспертам в студии (на опеннете) :)

Ответить | Правка | Наверх | Cообщить модератору

71. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от pic (??), 09-Сен-25, 16:56

А вы уверены, что они не боты?

Ответить | Правка | Наверх | Cообщить модератору

93. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (46), 09-Сен-25, 23:37

вопрос к МС, не ко мне

Ответить | Правка | Наверх | Cообщить модератору

15. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –3 +/–

Сообщение от Аноним (15), 09-Сен-25, 10:06

Это письмо от раст фаундейшн?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

70. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от pic (??), 09-Сен-25, 16:55

Ну чё ты такой простой, установи Касперский :) и будет тебе эвристический анализ

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

82. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от пох. (?), 09-Сен-25, 18:50

теперь мой пароль знает еще и касперский... а, впрочем... он его наверное и так знает

Ответить | Правка | Наверх | Cообщить модератору

2. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +4 +/–

Сообщение от Аноним (2), 09-Сен-25, 09:04

Никогда такого не было и вот опять))

Ответить | Правка | Наверх | Cообщить модератору

3. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –3 +/–

Сообщение от Аноним (4), 09-Сен-25, 09:05

Новость прлаётся так как будто это какая-то неожиданность.

Ответить | Правка | Наверх | Cообщить модератору

64. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +3 +/–

Сообщение от Аноним (64), 09-Сен-25, 16:03

Эта новость для того, чтобы люди перепроверили, нет ли у них скомпрометированной версии пакета. Ожидаемо или неожиданно, но предупреждение нужное.

Ответить | Правка | Наверх | Cообщить модератору

5. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Tron is Whistling (?), 09-Сен-25, 09:10

Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.

Ответить | Правка | Наверх | Cообщить модератору

7. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +6 +/–

Сообщение от Аноним (7), 09-Сен-25, 09:12

Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?

Ответить | Правка | Наверх | Cообщить модератору

8. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –3 +/–

Сообщение от AleksK (ok), 09-Сен-25, 09:17

Я ставлю отсюда
https://download.etersoft.ru
И да это совсем другое.

Ответить | Правка | Наверх | Cообщить модератору

11. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (11), 09-Сен-25, 09:25

Спасибо за ссылку, конечно. Но его там нет.

Ответить | Правка | Наверх | Cообщить модератору

12. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от AleksK (ok), 09-Сен-25, 09:36

> Спасибо за ссылку, конечно. Но его там нет.
Кого нет?

Ответить | Правка | Наверх | Cообщить модератору

19. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (19), 09-Сен-25, 10:26

Здравого смысла.

Ответить | Правка | Наверх | Cообщить модератору

47. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (46), 09-Сен-25, 13:03

Черного кота в черной комнате найти можно, достаточно сказать "кыссс-кыссс" :)

Ответить | Правка | Наверх | Cообщить модератору

78. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от Аноним (78), 09-Сен-25, 18:23

Не все коты откликаются, когда их зовут. Особенно, если они глухие.

Ответить | Правка | Наверх | Cообщить модератору

94. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (46), 09-Сен-25, 23:40

> Особенно, если они глухие.
считай и кота нет, хотя достаточно туда запустить собаку :)

Ответить | Правка | Наверх | Cообщить модератору

24. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (7), 09-Сен-25, 11:06

> И да это совсем другое.
И в чем отличия?
Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

33. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –4 +/–

Сообщение от AleksK (ok), 09-Сен-25, 12:06

> И в чем отличия?
Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
NPM принадлежит Microsoft. Это другое?

Ответить | Правка | Наверх | Cообщить модератору

39. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –3 +/–

Сообщение от Аноним (-), 09-Сен-25, 12:14

Сколько у них юзеров?
А сколько юзеров у нпм, гитхаба или гитлаба.
Будет ли об этом писать зарубежные ресурсы (спойлер: нет).
Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию?
Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
libux kernel был взломан 2 года.

Ответить | Правка | Наверх | Cообщить модератору

42. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от AleksK (ok), 09-Сен-25, 12:34

> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
> libux kernel был взломан 2 года.
Кто? Что за libux kernel?

Ответить | Правка | Наверх | Cообщить модератору

51. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от Аноним (7), 09-Сен-25, 13:05

> Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
Так я ни разу не видел новости, чтобы взломали репы Debian или Ubuntu. Но ты почему-то решил приплести сюда эту НЁХ.
>> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
> NPM принадлежит Microsoft. Это другое?
Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

18. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от User (??), 09-Сен-25, 10:25

Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

83. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от пох. (?), 09-Сен-25, 18:51

> Очень надеюсь, что это попало в махровый энтерпрайз.
сссссс..


Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +3 +/–

Сообщение от Аноним (7), 09-Сен-25, 09:11

> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы.
При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂

Ответить | Правка | Наверх | Cообщить модератору

10. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +4 +/–

Сообщение от Аноним (10), 09-Сен-25, 09:23

А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.

Ответить | Правка | Наверх | Cообщить модератору

43. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (43), 09-Сен-25, 12:52

За нас у же все подумали - за целых два дня прислали.
Осталось только ввести логин и пароль.

Ответить | Правка | Наверх | Cообщить модератору

65. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +3 +/–

Сообщение от Кошкажена (?), 09-Сен-25, 16:04

> Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
А что ты хотел от людей, которые только и делают, что обновляют зависимости. У таких 1 день - это уже устарело.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

73. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от Аноним (73), 09-Сен-25, 17:07

Требование вполне в духе современных "сервисов".

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

84. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от пох. (?), 09-Сен-25, 18:52

Не, ну я бы тоже насторожился - чего вдруг за аж два дня? Вот если б за два часа, но пятнадцать штук с интервалом две минуты и каждый раз новым линком а старый уже не работает - было бы в духе.

Ответить | Правка | Наверх | Cообщить модератору

95. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от 19295 (?), 10-Сен-25, 00:31

Я вижу вы незнакомы с технологией one-time password

Ответить | Правка | Наверх | Cообщить модератору

105. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от Смузихлеб забывший пароль (?), 10-Сен-25, 09:52

Ну со многих контор( те же Госуслуги, но и крупных частников полно ) уведомление о самой возможности записи на какое-то мероприятие запросто приходят в середине последнего дня записи на него( притом, что времени было отведено в районе месяца )
Даже региональные выборы местами скоро начнутся, а уведомление о том, что можно подать заявление об изменении участка голосования направлено 8 сент в 06:00 Мск притом что крайний срок подачи - 8 сент 23:59 Мск, хотя возможность этого появилась много дней назад
Но самый простой и очевидный способ не попасть на простейший развод - это не переходить по ссылкам в письмах где потом надо вводить логины-пароли
Конкретно по новости - увидел письмо и сам зашёл на сайт из закладок/автодополнения хотя бы

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

13. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Анонимный эксперт (?), 09-Сен-25, 09:54

Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется.
Но делать они этого конечно не будут.

Ответить | Правка | Наверх | Cообщить модератору

20. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (20), 09-Сен-25, 10:33

> Ну и платить
энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время?

Ответить | Правка | Наверх | Cообщить модератору

32. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (32), 09-Сен-25, 12:04

>Энтерпрайзу давно пора
Если ты такой умный, то почему ты не энтерпрайз?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

58. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Tron is Whistling (?), 09-Сен-25, 13:56

Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено...
Как положено, в общем...

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

118. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (118), 10-Сен-25, 14:19

Всё так и было. Человек из новости после такого обучения получил письмо о необходимости обновить данные и пошёл обновлять, чтоб безопасно было.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

14. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от Аноним (-), 09-Сен-25, 09:58

> Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.
И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.
Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.

Ответить | Правка | Наверх | Cообщить модератору

16. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от User (??), 09-Сен-25, 10:23

Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть!
Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?

Ответить | Правка | Наверх | Cообщить модератору

17. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (7), 09-Сен-25, 10:24

> И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.
Так они и независимы. Видишь ли, двуфакторка сделана в первую очередь для защиты на стороне пользователя (если один фактор сперли), а от дыр на стороне сервера и тем более вот таких прокси, вклинившихся "между", она не защищает.
> Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.
И тогда двуфакторка превращается в однофакторку. Причем если у тебя именно второй фактор (девайс с почтой) то при такой схеме авторизации у злоумышленников теперь есть доступ ко ВСЕМ твоим аккаунтам, если на этом девайсе в браузере ты выбирал автосохраниение паролей.
И, кстати, безопасно логиниться в саму почту тоже как-то надо.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

21. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (21), 09-Сен-25, 10:40

а два миллиарда_загрузок_в_неделю никого не смущают? не подозрительно многовато?

Ответить | Правка | Наверх | Cообщить модератору

22. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +3 +/–

Сообщение от Anonim (??), 09-Сен-25, 11:02

Слышал когда-нибудь о CI/CD?

Ответить | Правка | Наверх | Cообщить модератору

23. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (23), 09-Сен-25, 11:06

Люди любят красить буквы...

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

44. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (43), 09-Сен-25, 12:56

Там боты загружают новую версию JS пакета, если видят изменение версии в репозитарии.
При каждом старте.
Ну это такой вид программирования на JS.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

101. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Fracta1L (ok), 10-Сен-25, 09:23

Мне больше нравятся почти 130 тысяч зависимостей у пакета

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

25. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (25), 09-Сен-25, 11:10

>  множества библиотек для консольных приложений.
Консольные приложения на javascript! Дожили.

Ответить | Правка | Наверх | Cообщить модератору

26. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (25), 09-Сен-25, 11:10

По сути запускается браузер, чтоб выполнить консольную программу.

Ответить | Правка | Наверх | Cообщить модератору

36. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (36), 09-Сен-25, 12:09

Нет там никакого браузера, просто нода в tty текст выводит.

Ответить | Правка | Наверх | Cообщить модератору

29. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от Аноним Анонимович Анонимов (?), 09-Сен-25, 11:34

Не холивара ради, а исторической справки для.
Консольные программы на js появились ещё в 90-е на оффтопике. В 00-х расширили с помощью .net.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

92. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от нейм (?), 09-Сен-25, 23:25

Только вот лучше б там и остались. Открываешь какой нибудь клаудкод, а у него месиво нечитаемое, зато ЭФФЕКТИКИ и ОКОШЕЧКО СТАТИЧНОЕ

Ответить | Правка | Наверх | Cообщить модератору

102. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (25), 10-Сен-25, 09:42

И кто говорил что это правильно?

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

37. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (36), 09-Сен-25, 12:10

Значит питон, перл и прочие баг портянки тебя не смущают?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

74. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (74), 09-Сен-25, 17:26

Для смущения нужно чтобы сознание как-то участвовало в процессе. А он увидел знакомые буквы, и сразу пошла слюна. Всё как у Павлова.

Ответить | Правка | Наверх | Cообщить модератору

103. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (25), 10-Сен-25, 09:44

У питона нормальный интерпретатор. У js это браузер, по сути, со своей виртуальной машиной.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

121. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (36), 10-Сен-25, 22:14

Откуда в ноде браузер, опеннет продолжает поражать своей икспертностью...

Ответить | Правка | Наверх | Cообщить модератору

27. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от Рандом (?), 09-Сен-25, 11:29

Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации и вы приехали что ваш номер у которому привязаны акки теперь может быть подвержен тупо быстрому хищению акков , лучше держаться одно паролевой идентификации с на геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания геолокации аноны это всё равно обезличенная масса и зачем им становиться великими они все равно этого бояться им в таком случае и навигатор не нужен.

Ответить | Правка | Наверх | Cообщить модератору

30. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (30), 09-Сен-25, 11:40

Sms это и не 2fa. На случай утраты доступа есть листок с распечатанными одноразовыми кодами.

Ответить | Правка | Наверх | Cообщить модератору

35. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от User (??), 09-Сен-25, 12:09

> Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой
> заблокирует сим сим и выдаст её левому челу уверяя вас что
> никому не выдаст этот номер раз не смог вам перевыпустить этот
> же номер на другой релокации внутри федерации и вы приехали что
> ваш номер у которому привязаны акки теперь может быть подвержен тупо
> быстрому хищению акков , лучше держаться одно паролевой идентификации с на
> геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания
> геолокации аноны это всё равно обезличенная масса и зачем им становиться
> великими они все равно этого бояться им в таком случае и
> навигатор не нужен.
Не, ну использовать в качестве "второго фактора" - _принципиально_ не принадлежащую тебе вещь - _арендуемый_ на мутных условиях телефонный номер само по себе "ну, такоэ" решение.
Но ить - считать, что вот этим вот - ну может еще TOTP концепция 2FA и ограничивается и ограничивается прям вообще волшебно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

79. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Кексперт (?), 09-Сен-25, 18:40

С рождения тебе принадлежит только лицо и голос, так что давайте все недовольные идити куда следует регистрировать биометрию

Ответить | Правка | Наверх | Cообщить модератору

97. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от User (??), 10-Сен-25, 07:13

> С рождения тебе принадлежит только лицо и голос, так что давайте все
> недовольные идити куда следует регистрировать биометрию
Ну если понятия не имеешь о том, как обрабатывается и для чего используется биометрия - то да, иди - можешь даже генетический материал с собой прихватить. Только оплата через защищенный счёт ФСБ, не забудь!

Ответить | Правка | Наверх | Cообщить модератору

50. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (43), 09-Сен-25, 13:05

>оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации
Напомнило мне мою историю с внезапным выпуском еще одной платежной карты к моему счету в ПСБ, о которой я ни слухом ни духом.
При этом техподдержка настоятельно уверяла меня что "выпустить карту без моего присутствия в офисе невозможно". При смене контактного телефона, и других действиях робот присылал мне СМС о чем я и узнал из СМС.
Девочка на горячей линии техподдержки (это чуть выше обыкновенных, озвучивающих скрипты) разобралась с проблемой и ретранслировала мне ответ "менеджер сказал что с клиентом все согласовано"
Пысы: закончилось все безубыточно - на след день я съездил в офис именно к этому менеджеру, и первое что я от него услышал это удивленное "Вы уже здесь?".

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

96. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (30), 10-Сен-25, 01:08

У меня был прикол что в сбере какого-то пенсионера привязали к моему номеру без моего участия. Мне отдали чужой счёт ага. Такая вот секурность у сбера.

Ответить | Правка | Наверх | Cообщить модератору

28. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (30), 09-Сен-25, 11:30

>npmjs.help
Если кто-то повёлся, навсегда занести их в чёрный список. Как умственнонеполноценных. А, хотя, подождите, для этого же кок и принимали. Только почему они чем-то там управляют теперь?

Ответить | Правка | Наверх | Cообщить модератору

31. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от User (??), 09-Сен-25, 12:01

victim blaming? Не, не слышал - "с хорошими девочками плохие вещи не случаются!"

Ответить | Правка | Наверх | Cообщить модератору

40. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (30), 09-Сен-25, 12:25

Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так это компании, делающие легитимные рассылки с левых доменов. Но только, не заметить, что это левый сайт, в данном случае, просто невозможно. А ведь вроде взрослые околоайтишники.

Ответить | Правка | Наверх | Cообщить модератору

41. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (-), 09-Сен-25, 12:28

> делающие легитимные рассылки с левых доменов.
Можно написать скрипт, который будет отправлять письма по одному.
А если вообще заблочить левые домены, то начнется воняние васянов с подкроватными мейлсерверами типа "корпы их ущемляют".

Ответить | Правка | Наверх | Cообщить модератору

56. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от User (??), 09-Сен-25, 13:52

> Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так
> это компании, делающие легитимные рассылки с левых доменов. Но только, не
> заметить, что это левый сайт, в данном случае, просто невозможно. А
> ведь вроде взрослые околоайтишники.
Да-да, самадуравиновата. И вот велосипедисты, ой, электросамокатчики еще - все зло от них.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

61. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (30), 09-Сен-25, 15:20

А кто виноват? И не хочешь ли ты сказать, что всё зло от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий билет -- вполне справедливо.

Ответить | Правка | Наверх | Cообщить модератору

66. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –2 +/–

Сообщение от User (??), 09-Сен-25, 16:18

> А кто виноват? И не хочешь ли ты сказать, что всё зло
> от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить
> прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не
> денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий
> билет -- вполне справедливо.
Да-да, и вот сишников за выход за пределы буфера всенепременно на мороз - ну детская же ошибка, правда? И вот админов за кривые ACL пороть - всех же учат, ага. И...
"А может просто использовать устойчивые к фишингу варианты аутентификации?
Да не, ерунда какая-то..."

Ответить | Правка | Наверх | Cообщить модератору

75. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +5 +/–

Сообщение от Аноним (74), 09-Сен-25, 17:42

Может лучше скаммеров сажать и с преступностью бороться? Не, ерунда какая-то, лучше жертв преступления виноватыми сделать. Скаммеров ещё найти надо, а если они отстреливаться начнут? А эти вон — сами пришли, даже искать не надо.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

45. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (45), 09-Сен-25, 12:59

>is-arrayish
О,новый лефтпад! Что это за нескучный язычок такой, что нужен _внешний_ модуль, чтобы определять тип переменной?

Ответить | Правка | Наверх | Cообщить модератору

57. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (36), 09-Сен-25, 13:54

Он не тип переменной проверяет. Ох уж эти иксперты.

Ответить | Правка | Наверх | Cообщить модератору

86. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Аноним (15), 09-Сен-25, 19:22

У него же там батарейки в комплекте, а такую фигню не проверяет?
> Ох уж эти иксперты.
иксперты - это видимо те, кто is-arrayish юзает

Ответить | Правка | Наверх | Cообщить модератору

77. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от Аноним (-), 09-Сен-25, 18:20

Он проверяет, может ли объект быть использован как массив. Целых 9 LOC.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

120. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от Аноним (120), 10-Сен-25, 15:47

Это не тип переменной, это "не массивы", которые, тем не менее, можно кормить в методы массива. Типа какого-нибудь NodeList. JS такой JS, да.
Вот прямо тут в devtools console:
> const nodelist = document.querySelectorAll('input')
> nodelist.constructor.name
'NodeList'
> nodelist instanceof Array
false
> Array.isArray(nodelist)
false
> nodelist.map(n => n.name).join(',')
VM1371:1 Uncaught TypeError: nodelist.map is not a function
    at <anonymous>:1:10
НО:
> Array.prototype.map.call(nodelist, n => n.name).join(',')
'words,om,omm,news_key,az,name,email,subject,forum,ec,sc,post,preview'

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

48. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +2 +/–

Сообщение от Аноним (48), 09-Сен-25, 13:04

Странное дело. В силу профессиональной деятельности указанный гражданин не мог не знать об указанном способе фишинга. К тому же большинство почтовых клиентов блокируют такие письма. Так что есть серьёзные основания полагать, что доступ был получен не случайно. Разраба могли попросить вежливые люди или банально подкупить. Ну а доступ им потребовался для совершения какой-то разовой операции. После чего дело обставили как случайный "фишинг". Это примерно как у нас, когда жертва "мошенников" внезапно переводит сотни миллионов рублей на какой-то мутный счёт, хотя в реальности это сделать физически нереально.

Ответить | Правка | Наверх | Cообщить модератору

52. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Pahanivo (ok), 09-Сен-25, 13:16

CСпрашивается, что вы хотите от пользователей, бабушек и т.д.)))
Тут девелоперы в секурити не волокут от слова совсем.

Ответить | Правка | Наверх | Cообщить модератору

98. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от User (??), 10-Сен-25, 07:24

> CСпрашивается, что вы хотите от пользователей, бабушек и т.д.)))
> Тут девелоперы в секурити не волокут от слова совсем.
Большинство из них (кроме небольшого количества, занятого разработкой достаточно специфических вещей) действительно "не волокут" (как правило хуже всего те, кто думает что "ну вот он-то ТОЧНО да!). И в майнтенансе надевелопанного - не волокут. И в построении из разработанного сколько-нибудь сложных систем - ниочень.
Некоторые из них "волокут" в "девелопменте" и это уже дофига много, обычно и того нет.
И нет, это не "программисты плохие-плохие-плохие!" - это мир слегонца сложный.

Ответить | Правка | Наверх | Cообщить модератору

117. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." –1 +/–

Сообщение от Pahanivo (ok), 10-Сен-25, 14:11

В первых я говорил про нифига не специфические вещи - я говорил про базовый скил. Настолько базовый, что он, внезапно, для всех.
В вторых - назвался девелопером то как бы спозиционировал себя несколько умнее чви все, и тут нате опа ...
В третих - когда разработка касается сетевых паблик фич - тут сука просто обязан понимать секурити ...

Ответить | Правка | Наверх | Cообщить модератору

63. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Кошкажена (?), 09-Сен-25, 15:56

Список скомпромитированных пакетов состоит из каких-то велосипедов. Нормальный человек такое напишет у себя за 5 минут без всяких зависимостей. Ох уж это скриптизеры.

Ответить | Правка | Наверх | Cообщить модератору

107. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от 1 (??), 10-Сен-25, 10:16

Ну lefpad же !
Зачем писать 5 строчек - это же надо МНУ теребить. А так "скачал и всё работает !".

Ответить | Правка | Наверх | Cообщить модератору

67. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от 12yoexpert (ok), 09-Сен-25, 16:33

вот поэтому я при получении таких писем иду в браузер и захожу на сайт руками. ну и не пишу на джаве

Ответить | Правка | Наверх | Cообщить модератору

80. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +1 +/–

Сообщение от пох. (?), 09-Сен-25, 18:48

дык, а толку-то...
когда половина инструкций начинается с "установите npm".... ну или curl|sudo bash его норовит сам поставить.

Ответить | Правка | Наверх | Cообщить модератору

108. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от 1 (??), 10-Сен-25, 10:19

curl|sudo bash - это 5, конечно. Такое мощщщщное заклинание.
Второе, утыкать всё пробросами на 127.0.0.1 по ssh.

Ответить | Правка | Наверх | Cообщить модератору

119. Скрыто модератором +/–

Сообщение от Аноним (118), 10-Сен-25, 14:31

Ну зашли вы на сайт руками, а там никаких уведомлений типа такого. Дальше? Предполагаете, что, вопреки письму, акк не заблокируют?

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

68. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (68), 09-Сен-25, 16:40

Всё движется к тому, что со временем в NPM будут находить нескопрометированные пакеты.

Ответить | Правка | Наверх | Cообщить модератору

109. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от 1 (??), 10-Сен-25, 10:19

И это будет сенсация.

Ответить | Правка | Наверх | Cообщить модератору

76. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (76), 09-Сен-25, 17:46

Не перечесть сколько ещё учётных записей присоединилось к различным проектам, чтобы однажды добавить свой кусочек кода.

Ответить | Правка | Наверх | Cообщить модератору

81. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от пох. (?), 09-Сен-25, 18:49

зачем им? Судя по новости - просто используй пароль 123. К какому-нибудь лефтпаду да подойдет, и все за тебя уже присоединились и кода надобавляли, хрен там твою добавку кто увидит.

Ответить | Правка | Наверх | Cообщить модератору

88. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (88), 09-Сен-25, 20:02

Ничего удивительного в этом нет.

Ответить | Правка | Наверх | Cообщить модератору

89. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (89), 09-Сен-25, 22:03

Вот и что делать?
Если в письмах делать ссылки, то люди привыкают не глядя их жмакать. Если не делать ссылки, то люди могут случайно попасть на поддельный сайт, введя com вместо ru например.

Ответить | Правка | Наверх | Cообщить модератору

100. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (100), 10-Сен-25, 08:42

Очевидно, что - проксировать каждое письмо через товарища майора, он проверит, есть ли в письме опасные ссылки. Или проще запретить мыло.

Ответить | Правка | Наверх | Cообщить модератору

99. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (100), 10-Сен-25, 08:36

Чем там прикрывался Гитхаб, принудительно внедряя 2FA? "Это для вашей же безопасности"?

Ответить | Правка | Наверх | Cообщить модератору

106. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (106), 10-Сен-25, 10:05

Письму в принципе мало доверия. Вместо перехода по ссылке использую адрес из истории/закладок, в случае чего сайт предложит выполнить необходимые операции.

Ответить | Правка | Наверх | Cообщить модератору

110. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..." +/–

Сообщение от Аноним (110), 10-Сен-25, 10:43

Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.
На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+36 +/–
Сообщение от Аноним (1), 09-Сен-25, 08:58
Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+9 +/–
	Сообщение от Аноним (4), 09-Сен-25, 09:06
	Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+15 +/–
	Сообщение от Аноним (9), 09-Сен-25, 09:20
	Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
	Сообщение от Аноним (46), 09-Сен-25, 13:01
	> Профессионалам-то точно можно верить. Как экспертам в студии (на опеннете) :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от pic (??), 09-Сен-25, 16:56
	А вы уверены, что они не боты?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	93. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (46), 09-Сен-25, 23:37
	вопрос к МС, не ко мне
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–3 +/–
	Сообщение от Аноним (15), 09-Сен-25, 10:06
	Это письмо от раст фаундейшн?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	70. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от pic (??), 09-Сен-25, 16:55
	Ну чё ты такой простой, установи Касперский :) и будет тебе эвристический анализ
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	82. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от пох. (?), 09-Сен-25, 18:50
	теперь мой пароль знает еще и касперский... а, впрочем... он его наверное и так знает
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+4 +/–
Сообщение от Аноним (2), 09-Сен-25, 09:04
Никогда такого не было и вот опять))
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–3 +/–
Сообщение от Аноним (4), 09-Сен-25, 09:05
Новость прлаётся так как будто это какая-то неожиданность.
Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+3 +/–
	Сообщение от Аноним (64), 09-Сен-25, 16:03
	Эта новость для того, чтобы люди перепроверили, нет ли у них скомпрометированной версии пакета. Ожидаемо или неожиданно, но предупреждение нужное.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
Сообщение от Tron is Whistling (?), 09-Сен-25, 09:10
Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+6 +/–
	Сообщение от Аноним (7), 09-Сен-25, 09:12
	Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–3 +/–
	Сообщение от AleksK (ok), 09-Сен-25, 09:17
	Я ставлю отсюда https://download.etersoft.ru И да это совсем другое.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
	Сообщение от Аноним (11), 09-Сен-25, 09:25
	Спасибо за ссылку, конечно. Но его там нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от AleksK (ok), 09-Сен-25, 09:36
	> Спасибо за ссылку, конечно. Но его там нет. Кого нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+1 +/–
	Сообщение от Аноним (19), 09-Сен-25, 10:26
	Здравого смысла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (46), 09-Сен-25, 13:03
	Черного кота в черной комнате найти можно, достаточно сказать "кыссс-кыссс" :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–2 +/–
	Сообщение от Аноним (78), 09-Сен-25, 18:23
	Не все коты откликаются, когда их зовут. Особенно, если они глухие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–1 +/–
	Сообщение от Аноним (46), 09-Сен-25, 23:40
	> Особенно, если они глухие. считай и кота нет, хотя достаточно туда запустить собаку :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от Аноним (7), 09-Сен-25, 11:06
	> И да это совсем другое. И в чем отличия? Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	33. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–4 +/–
	Сообщение от AleksK (ok), 09-Сен-25, 12:06
	> И в чем отличия? Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы. > Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать? NPM принадлежит Microsoft. Это другое?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	–3 +/–
	Сообщение от Аноним (-), 09-Сен-25, 12:14
	Сколько у них юзеров? А сколько юзеров у нпм, гитхаба или гитлаба. Будет ли об этом писать зарубежные ресурсы (спойлер: нет). Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию? Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры. libux kernel был взломан 2 года.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+1 +/–
	Сообщение от AleksK (ok), 09-Сен-25, 12:34
	> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры. > libux kernel был взломан 2 года. Кто? Что за libux kernel?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+2 +/–
	Сообщение от Аноним (7), 09-Сен-25, 13:05
	> Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы. Так я ни разу не видел новости, чтобы взломали репы Debian или Ubuntu. Но ты почему-то решил приплести сюда эту НЁХ. >> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать? > NPM принадлежит Microsoft. Это другое? Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	18. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+2 +/–
	Сообщение от User (??), 09-Сен-25, 10:25
	Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	83. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+/–
	Сообщение от пох. (?), 09-Сен-25, 18:51
	> Очень надеюсь, что это попало в махровый энтерпрайз. сссссс..
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

6. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+3 +/–
Сообщение от Аноним (7), 09-Сен-25, 09:11
> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы. При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 милл..."	+4 +/–
	Сообщение от Аноним (10), 09-Сен-25, 09:23
	А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.
	Ответить \| Правка \| Наверх \| Cообщить модератору