| 1.1, Аноним (1), 08:58, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +37 +/– |
Я человек простой: вижу в письме слово сесьюрити - сразу ввожу логин-пароль, чтобы обсесьюриться по полной программе.
| | |
| |
| 2.4, Аноним (4), 09:06, 09/09/2025 [^] [^^] [^^^] [ответить]
| +10 +/– |
Ну а кто мы такие чтобы задавать вопросы? Нам сказали мы сделали. Мы люди маленькие.
| | |
| |
| 3.9, Аноним (9), 09:20, 09/09/2025 [^] [^^] [^^^] [ответить]
| +17 +/– |
Ну, нас постоянно к этому приучают. Это же удобно, когда о твоей безопасности думают профессионалы в этом деле, а не ты сам, еле понимающий, чемм пароль отличается от токена. Профессионалам-то точно можно верить.
| | |
| |
| 4.46, Аноним (46), 13:01, 09/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Профессионалам-то точно можно верить.
Как экспертам в студии (на опеннете) :)
| | |
|
|
| 2.70, pic (??), 16:55, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну чё ты такой простой, установи Касперский :) и будет тебе эвристический анализ
| | |
| |
| 3.82, пох. (?), 18:50, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
теперь мой пароль знает еще и касперский... а, впрочем... он его наверное и так знает
| | |
|
|
| |
| 2.64, Аноним (64), 16:03, 09/09/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Эта новость для того, чтобы люди перепроверили, нет ли у них скомпрометированной версии пакета. Ожидаемо или неожиданно, но предупреждение нужное.
| | |
|
| 1.5, Tron is Whistling (?), 09:10, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Отлично-отлично. Хламопомойки полезны для непрерывной интеграции малвари. Очень надеюсь, что это попало в махровый энтерпрайз.
| | |
| |
| 2.7, Аноним (7), 09:12, 09/09/2025 [^] [^^] [^^^] [ответить]
| +6 +/– |
Напомни, откуда ты там в своем Линуксе пакеты ставишь? Или "вы не понимаете - это другое"?
| | |
| |
| |
| |
| |
| |
| 7.47, Аноним (46), 13:03, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Черного кота в черной комнате найти можно, достаточно сказать "кыссс-кыссс" :)
| | |
|
|
|
| 4.24, Аноним (7), 11:06, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> И да это совсем другое.
И в чем отличия?
Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
| | |
| |
| 5.33, AleksK (ok), 12:06, 09/09/2025 [^] [^^] [^^^] [ответить]
| –5 +/– |
 > И в чем отличия?
Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
NPM принадлежит Microsoft. Это другое?
| | |
| |
| 6.39, Аноним (-), 12:14, 09/09/2025 [^] [^^] [^^^] [ответить]
| –3 +/– |
Сколько у них юзеров?
А сколько юзеров у нпм, гитхаба или гитлаба.
Будет ли об этом писать зарубежные ресурсы (спойлер: нет).
Будут ли об этом писать отечественные с риском познакомиться с тов.Майором за сорванную спецоперацию?
Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
libux kernel был взломан 2 года.
| | |
| |
| 7.42, AleksK (ok), 12:34, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Даже официальные репы ломают, во всяхие ХЗ добавляют бекдоры.
> libux kernel был взломан 2 года.
Кто? Что за libux kernel?
| | |
|
| 6.51, Аноним (7), 13:05, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Отличие в том что я ни разу не видел новости что у них что-то взломали, и добавили к пакетам вредоносы.
Так я ни разу не видел новости, чтобы взломали репы Debian или Ubuntu. Но ты почему-то решил приплести сюда эту НЁХ.
>> Ну, кроме того, что репу сделала отечественная коммерческая контора, которую ты зачем-то решил здесь прорекламировать?
> NPM принадлежит Microsoft. Это другое?
Я тебя спрашивал не о том, кому принадлежит NPM. Я спрашивал: зачем ты здесь рекламируешь этот Etersoft?
| | |
|
|
|
| 3.18, User (??), 10:25, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Там тысячагласс смотрит, как специально обученный дiд вручную конпеляет пакетики и по FTP кладет их в ПРАВИЛЬНОЕ МЕСТО без этих вот ваших сиай-сидёв.
| | |
|
| 2.83, пох. (?), 18:51, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Очень надеюсь, что это попало в махровый энтерпрайз.
сссссс..
| | |
|
| 1.6, Аноним (7), 09:11, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> В письме было сказано, что [...] 10 сентября [...] все учётные данные с необновлёнными параметрами 2FA будут заблокированы.
При этом письмо пришло 8 сентября. Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
| | |
| |
| 2.10, Аноним (10), 09:23, 09/09/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
А чего подозрительного то, всего джва дня осталось, надо поторопиться вводить а не думать то.
| | |
| |
| 3.43, Аноним (43), 12:52, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
За нас у же все подумали - за целых два дня прислали.
Осталось только ввести логин и пароль.
| | |
|
| 2.65, Кошкажена (?), 16:04, 09/09/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Т.е. за 2 дня до якобы блокировки. И чел даже не заподозрил неладное. 😂
А что ты хотел от людей, которые только и делают, что обновляют зависимости. У таких 1 день - это уже устарело.
| | |
| |
| 3.84, пох. (?), 18:52, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Не, ну я бы тоже насторожился - чего вдруг за аж два дня? Вот если б за два часа, но пятнадцать штук с интервалом две минуты и каждый раз новым линком а старый уже не работает - было бы в духе.
| | |
|
| 2.105, Смузихлеб забывший пароль (?), 09:52, 10/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Ну со многих контор( те же Госуслуги, но и крупных частников полно ) уведомление о самой возможности записи на какое-то мероприятие запросто приходят в середине последнего дня записи на него( притом, что времени было отведено в районе месяца )
Даже региональные выборы местами скоро начнутся, а уведомление о том, что можно подать заявление об изменении участка голосования направлено 8 сент в 06:00 Мск притом что крайний срок подачи - 8 сент 23:59 Мск, хотя возможность этого появилась много дней назад
Но самый простой и очевидный способ не попасть на простейший развод - это не переходить по ссылкам в письмах где потом надо вводить логины-пароли
Конкретно по новости - увидел письмо и сам зашёл на сайт из закладок/автодополнения хотя бы
| | |
|
| 1.13, Анонимный эксперт (?), 09:54, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено в энтепрпрайзе регулярно проводить инструктаж по ТБ со сдачей тестов. Ну и платить за потраченное время из специального фонда, разумеется.
Но делать они этого конечно не будут.
| | |
| |
| 2.20, Аноним (20), 10:33, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну и платить
энтерпрайз тянет код под MIT и будет платить за потраченное на инструктаж время?
| | |
| 2.32, Аноним (32), 12:04, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Энтерпрайзу давно пора
Если ты такой умный, то почему ты не энтерпрайз?
| | |
| 2.58, Tron is Whistling (?), 13:56, 09/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Энтерпрайзу давно пора составить дерево зависимостей, найти топ-100 таких мейнтейнеров проектов и как положено...
Как положено, в общем...
| | |
| 2.118, Аноним (118), 14:19, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Всё так и было. Человек из новости после такого обучения получил письмо о необходимости обновить данные и пошёл обновлять, чтоб безопасно было.
| | |
|
| 1.14, Аноним (-), 09:58, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
> Организовав работу npmjs.help как прокси для доступа к npmjs.com, атакующие контролировали весь трафик, включая активность на страницах ввода пароля входа и запроса второго фактора аутентификации.
И это называется "двухфакторная" авторизация... Два фактора потому и два, что они должны быть независимы.
Вторым фактором надо отправлять ссылку в почту. Она бы прилетела в почту напрямую, минуя nmpjs.help, и вела бы она на настоящий сайт.
| | |
| |
| 2.16, User (??), 10:23, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Хипстеры изобретают свою, ПРАВИЛЬНУЮ реализацию 2fa - спешите видеть!
Как ты думаешь, как бы тут помогла генерация TOTP на "еще-более-независимом устройстве", м?
| | |
| 2.17, Аноним (7), 10:24, 09/09/2025 [^] [^^] [^^^] [ответить] | +/– | Так они и независимы Видишь ли, двуфакторка сделана в первую очередь для защиты... большой текст свёрнут, показать | | |
|
| 1.21, Аноним (21), 10:40, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а два миллиарда_загрузок_в_неделю никого не смущают? не подозрительно многовато?
| | |
| |
| 2.44, Аноним (43), 12:56, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Там боты загружают новую версию JS пакета, если видят изменение версии в репозитарии.
При каждом старте.
Ну это такой вид программирования на JS.
| | |
|
| 1.25, Аноним (25), 11:10, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> множества библиотек для консольных приложений.
Консольные приложения на javascript! Дожили.
| | |
| |
| 2.26, Аноним (25), 11:10, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
По сути запускается браузер, чтоб выполнить консольную программу.
| | |
| |
| 3.92, нейм (?), 23:25, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Только вот лучше б там и остались. Открываешь какой нибудь клаудкод, а у него месиво нечитаемое, зато ЭФФЕКТИКИ и ОКОШЕЧКО СТАТИЧНОЕ
| | |
|
| |
| 3.74, Аноним (74), 17:26, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Для смущения нужно чтобы сознание как-то участвовало в процессе. А он увидел знакомые буквы, и сразу пошла слюна. Всё как у Павлова.
| | |
| 3.103, Аноним (25), 09:44, 10/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
У питона нормальный интерпретатор. У js это браузер, по сути, со своей виртуальной машиной.
| | |
| |
| 4.121, Аноним (36), 22:14, 10/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Откуда в ноде браузер, опеннет продолжает поражать своей икспертностью...
| | |
|
|
|
| 1.27, Рандом (?), 11:29, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Всё ещё верят в 2Fa аутоидентификацию ? А , завтра оператор сотовой заблокирует сим сим и выдаст её левому челу уверяя вас что никому не выдаст этот номер раз не смог вам перевыпустить этот же номер на другой релокации внутри федерации и вы приехали что ваш номер у которому привязаны акки теперь может быть подвержен тупо быстрому хищению акков , лучше держаться одно паролевой идентификации с на геолокацию так всяко разно более надёжно , а паранойды боящиеся распознавания геолокации аноны это всё равно обезличенная масса и зачем им становиться великими они все равно этого бояться им в таком случае и навигатор не нужен.
| | |
| |
| 2.30, Аноним (30), 11:40, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Sms это и не 2fa. На случай утраты доступа есть листок с распечатанными одноразовыми кодами.
| | |
| 2.35, User (??), 12:09, 09/09/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Не, ну использовать в качестве второго фактора - _принципиально_ не принадлежа... большой текст свёрнут, показать | | |
| |
| 3.79, Кексперт (?), 18:40, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
С рождения тебе принадлежит только лицо и голос, так что давайте все недовольные идити куда следует регистрировать биометрию
| | |
| |
| 4.97, User (??), 07:13, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> С рождения тебе принадлежит только лицо и голос, так что давайте все
> недовольные идити куда следует регистрировать биометрию
Ну если понятия не имеешь о том, как обрабатывается и для чего используется биометрия - то да, иди - можешь даже генетический материал с собой прихватить. Только оплата через защищенный счёт ФСБ, не забудь!
| | |
|
|
| 2.50, Аноним (43), 13:05, 09/09/2025 [^] [^^] [^^^] [ответить] | +/– | Напомнило мне мою историю с внезапным выпуском еще одной платежной карты к моему... большой текст свёрнут, показать | | |
| |
| 3.96, Аноним (30), 01:08, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
У меня был прикол что в сбере какого-то пенсионера привязали к моему номеру без моего участия. Мне отдали чужой счёт ага. Такая вот секурность у сбера.
| | |
|
|
| 1.28, Аноним (30), 11:30, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>npmjs.help
Если кто-то повёлся, навсегда занести их в чёрный список. Как умственнонеполноценных. А, хотя, подождите, для этого же кок и принимали. Только почему они чем-то там управляют теперь?
| | |
| |
| 2.31, User (??), 12:01, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
victim blaming? Не, не слышал - "с хорошими девочками плохие вещи не случаются!"
| | |
| |
| 3.40, Аноним (30), 12:25, 09/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так это компании, делающие легитимные рассылки с левых доменов. Но только, не заметить, что это левый сайт, в данном случае, просто невозможно. А ведь вроде взрослые околоайтишники.
| | |
| |
| 4.41, Аноним (-), 12:28, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> делающие легитимные рассылки с левых доменов.
Можно написать скрипт, который будет отправлять письма по одному.
А если вообще заблочить левые домены, то начнется воняние васянов с подкроватными мейлсерверами типа "корпы их ущемляют".
| | |
| 4.56, User (??), 13:52, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Это самый примитивный фишинг, старо как интернет. Кого тут стоит винить, так
> это компании, делающие легитимные рассылки с левых доменов. Но только, не
> заметить, что это левый сайт, в данном случае, просто невозможно. А
> ведь вроде взрослые околоайтишники.
Да-да, самадуравиновата. И вот велосипедисты, ой, электросамокатчики еще - все зло от них.
| | |
| |
| 5.61, Аноним (30), 15:20, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
А кто виноват? И не хочешь ли ты сказать, что всё зло от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий билет -- вполне справедливо.
| | |
| |
| 6.66, User (??), 16:18, 09/09/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А кто виноват? И не хочешь ли ты сказать, что всё зло
> от того, что велосипедистов, ой, самокатчиков, плохо наказывают? Даже если запретить
> прокаты, проблема идиотов на электроскутерах не будет решена. Фишинг никуда не
> денется, распознавать его -- это базовая компьютерная грамотность. Поэтому, выдавать волчий
> билет -- вполне справедливо.
Да-да, и вот сишников за выход за пределы буфера всенепременно на мороз - ну детская же ошибка, правда? И вот админов за кривые ACL пороть - всех же учат, ага. И...
"А может просто использовать устойчивые к фишингу варианты аутентификации?
Да не, ерунда какая-то..."
| | |
|
|
|
|
| 2.75, Аноним (74), 17:42, 09/09/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Может лучше скаммеров сажать и с преступностью бороться? Не, ерунда какая-то, лучше жертв преступления виноватыми сделать. Скаммеров ещё найти надо, а если они отстреливаться начнут? А эти вон — сами пришли, даже искать не надо.
| | |
|
| 1.45, Аноним (45), 12:59, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>is-arrayish
О,новый лефтпад! Что это за нескучный язычок такой, что нужен _внешний_ модуль, чтобы определять тип переменной?
| | |
| |
| |
| 3.86, Аноним (15), 19:22, 09/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
У него же там батарейки в комплекте, а такую фигню не проверяет?
> Ох уж эти иксперты.
иксперты - это видимо те, кто is-arrayish юзает
| | |
|
| 2.77, Аноним (-), 18:20, 09/09/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Он проверяет, может ли объект быть использован как массив. Целых 9 LOC.
| | |
| 2.120, Аноним (120), 15:47, 10/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Это не тип переменной, это "не массивы", которые, тем не менее, можно кормить в методы массива. Типа какого-нибудь NodeList. JS такой JS, да.
Вот прямо тут в devtools console:
> const nodelist = document.querySelectorAll('input')
> nodelist.constructor.name
'NodeList'
> nodelist instanceof Array
false
> Array.isArray(nodelist)
false
> nodelist.map(n => n.name).join(',')
VM1371:1 Uncaught TypeError: nodelist.map is not a function
at <anonymous>:1:10
НО:
> Array.prototype.map.call(nodelist, n => n.name).join(',')
'words,om,omm,news_key,az,name,email,subject,forum,ec,sc,post,preview'
| | |
|
| 1.48, Аноним (48), 13:04, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Странное дело. В силу профессиональной деятельности указанный гражданин не мог не знать об указанном способе фишинга. К тому же большинство почтовых клиентов блокируют такие письма. Так что есть серьёзные основания полагать, что доступ был получен не случайно. Разраба могли попросить вежливые люди или банально подкупить. Ну а доступ им потребовался для совершения какой-то разовой операции. После чего дело обставили как случайный "фишинг". Это примерно как у нас, когда жертва "мошенников" внезапно переводит сотни миллионов рублей на какой-то мутный счёт, хотя в реальности это сделать физически нереально.
| | |
| 1.52, Pahanivo (ok), 13:16, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 CСпрашивается, что вы хотите от пользователей, бабушек и т.д.)))
Тут девелоперы в секурити не волокут от слова совсем.
| | |
| |
| 2.98, User (??), 07:24, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
> CСпрашивается, что вы хотите от пользователей, бабушек и т.д.)))
> Тут девелоперы в секурити не волокут от слова совсем.
Большинство из них (кроме небольшого количества, занятого разработкой достаточно специфических вещей) действительно "не волокут" (как правило хуже всего те, кто думает что "ну вот он-то ТОЧНО да!). И в майнтенансе надевелопанного - не волокут. И в построении из разработанного сколько-нибудь сложных систем - ниочень.
Некоторые из них "волокут" в "девелопменте" и это уже дофига много, обычно и того нет.
И нет, это не "программисты плохие-плохие-плохие!" - это мир слегонца сложный.
| | |
| |
| 3.117, Pahanivo (ok), 14:11, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
В первых я говорил про нифига не специфические вещи - я говорил про базовый скил. Настолько базовый, что он, внезапно, для всех.
В вторых - назвался девелопером то как бы спозиционировал себя несколько умнее чви все, и тут нате опа ...
В третих - когда разработка касается сетевых паблик фич - тут сука просто обязан понимать секурити ...
| | |
| |
| 4.122, User (??), 07:03, 11/09/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В первых я говорил про нифига не специфические вещи - я говорил
> про базовый скил. Настолько базовый, что он, внезапно, для всех.
Ну вот и я про то. Хуже всех те, кто думает, что уж он-то "базу"(ТМ) знает! А дашь какой-нибудь тест - "оцените актуальные для вас угрозы, выберите средства защиты, релевантные для их предотвращения" - всплывает фффсякое.
И это если даже не вспоминать о том, что ЧСВ'шные г-да в упор не понимают, что "знать" что-либо это одно, а "применять это 24*7*365" не допуская ошибок - саааавсем другое. Все знают, что "движение на красный свет - запрещено", но каждый, с-ка, каждый! Хоть раз в жизни в любой роли это самое правило того-этого. Кто-то - с фатальными последствиями, кто-то без.
> В вторых - назвался девелопером то как бы спозиционировал себя несколько умнее
> чви все, и тут нате опа ...
А вот это и есть то самое ЧСВ. "девелопер" нуэээ... ничуть не "умнее" сварщика или там "сантехника", что бы он там сам про себя ни думал. Вот с дворником боль-мень уверенно потягается, да и то...
> В третих - когда разработка касается сетевых паблик фич - тут с-ка
> просто обязан понимать секурити ...
И снова "нет". В жизни реальный разработчик не то, что "понимать" - он и "знать"-то как правило не обязан. Вот не совершать типовых ошибок-по-списку - да. Остальное... см. выше
| | |
|
|
|
| 1.63, Кошкажена (?), 15:56, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Список скомпромитированных пакетов состоит из каких-то велосипедов. Нормальный человек такое напишет у себя за 5 минут без всяких зависимостей. Ох уж это скриптизеры.
| | |
| |
| 2.107, 1 (??), 10:16, 10/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну lefpad же !
Зачем писать 5 строчек - это же надо МНУ теребить. А так "скачал и всё работает !".
| | |
|
| 1.67, 12yoexpert (ok), 16:33, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 вот поэтому я при получении таких писем иду в браузер и захожу на сайт руками. ну и не пишу на джаве
| | |
| |
| 2.80, пох. (?), 18:48, 09/09/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
дык, а толку-то...
когда половина инструкций начинается с "установите npm".... ну или curl|sudo bash его норовит сам поставить.
| | |
| |
| 3.108, 1 (??), 10:19, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
curl|sudo bash - это 5, конечно. Такое мощщщщное заклинание.
Второе, утыкать всё пробросами на 127.0.0.1 по ssh.
| | |
|
| 2.119, Аноним (118), 14:31, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну зашли вы на сайт руками, а там никаких уведомлений типа такого. Дальше? Предполагаете, что, вопреки письму, акк не заблокируют?
| | |
|
| 1.68, Аноним (68), 16:40, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё движется к тому, что со временем в NPM будут находить нескопрометированные пакеты.
| | |
| 1.76, Аноним (76), 17:46, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не перечесть сколько ещё учётных записей присоединилось к различным проектам, чтобы однажды добавить свой кусочек кода.
| | |
| |
| 2.81, пох. (?), 18:49, 09/09/2025 [^] [^^] [^^^] [ответить]
| +/– | |
зачем им? Судя по новости - просто используй пароль 123. К какому-нибудь лефтпаду да подойдет, и все за тебя уже присоединились и кода надобавляли, хрен там твою добавку кто увидит.
| | |
|
| 1.89, Аноним (89), 22:03, 09/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот и что делать?
Если в письмах делать ссылки, то люди привыкают не глядя их жмакать. Если не делать ссылки, то люди могут случайно попасть на поддельный сайт, введя com вместо ru например.
| | |
| |
| 2.100, Аноним (100), 08:42, 10/09/2025 [^] [^^] [^^^] [ответить]
| +/– |
Очевидно, что - проксировать каждое письмо через товарища майора, он проверит, есть ли в письме опасные ссылки. Или проще запретить мыло.
| | |
|
| 1.99, Аноним (100), 08:36, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Чем там прикрывался Гитхаб, принудительно внедряя 2FA? "Это для вашей же безопасности"?
| | |
| 1.106, Аноним (106), 10:05, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Письму в принципе мало доверия. Вместо перехода по ссылке использую адрес из истории/закладок, в случае чего сайт предложит выполнить необходимые операции.
| | |
| 1.110, Аноним (110), 10:43, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.
На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.
| | |
|
