forum.opennet.ru

"В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неде..."	+/–
Сообщение от . (?), 25-Окт-21, 22:48
> ну стал закрытый Ну вот главный вопрос - зачем он вдруг стал закрытый? Что такое о нем знает гугль, чего не хочет показывать? Пока на него нет удовлетворительных ответов - хочется воздержаться от использования данной технологии. С кнопочкой - так себе. Приличный токен умеет запрашивать пин и блокироваться, если не угадал. Причем без участия чужих клавиатур. Но вот с приличными - беда. Либо нечто аля аладьин с неведомыми троянами в комплекте (и просто дырьями). Либо что-то совсем странное. Либо совсем фуфел. А раз так - я предпочитаю обычные пароли. И не вводить их там, где они могут утечь на сторону (что для публичного репо с востребованным кодом вполне разумная мера предосторожности, вовсе незачем туда лазить каждые пять минут и держать открытой сессию в браузере, с которого лазишь по порносайтам, тоже незачем).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО, opennews, 23-Окт-21, 23:27 [смотреть все]

Никода не было и вот опятьps традиция, Аноним, 23-Окт-21, 23:27 (1) //
- Да, давайте скакать и злорадствовать , QwertyReg, 23-Окт-21, 23:36 (5) //
  - 1 Это не в нашей традиции 2 Итак всё очевидно , Смузи Сопли, 23-Окт-21, 23:53 (9) //
    - Очевидно, что итак должно состоять из двух слов , data man, 23-Окт-21, 23:56 (10)
      - Итак это имя собственное, Аноним, 24-Окт-21, 00:10 (13)
        
        Тогда где запятая , QwertyReg, 24-Окт-21, 00:20 (16)
        
        С запятой нужно через пробел, Аноним, 24-Окт-21, 00:26 (19)
        
        Вас сейчас совсем ничему не учат , data man, 24-Окт-21, 00:22 (18)
        
        Не душнитьПрочитай как женщине, по имени Итак, всё очевидно , Аноним, 24-Окт-21, 00:29 (21)
        
        Какая ослоумная снежинка попалась , data man, 24-Окт-21, 00:37 (23)
        Теперь вместо Rust - о женщинах , Аноним, 24-Окт-21, 03:02 (25)
        
        Всегда бы , Admino, 24-Окт-21, 13:07 (52)
        
        Вам нравятся мультипарадигмальные компилируемые женщины , Аноним, 24-Окт-21, 14:24 (57)
    - А вот тут ты не прав Не умеющие скакать и злорадствовать не могут оставить комм, Анонимъ, 24-Окт-21, 11:23 (44)
русофобия и дискриминация какая-то не говоря уже о том, что на rust не написано, пятнадцать, 23-Окт-21, 23:29 (3) //
- а ты шо, исходники видел , Аноним, 24-Окт-21, 00:20 (15) //
  - упс, спалился , Урри, 24-Окт-21, 11:17 (42)
  - А что, проблема посмотреть https github com faisalman ua-parser-js, Аноним, 24-Окт-21, 16:25 (61)
- И при всей этой руссофобии не понятно что там делают хохлы в списке , Жорш, 24-Окт-21, 12:51 (50) //
  - Ну они какбе намекают, где произведен троян Сколеновстанец никогда в таком поряд, пох., 24-Окт-21, 13:33 (53) //
    - Интересно, только меня смущает в grep на баше , Онаним, 24-Окт-21, 20:36 (69)
      - 124 , промахнулсяв так-то ничего эскейпить не надо, Онаним, 24-Окт-21, 20:37 (70)
      - подумаешь, жабомакака не шмагла в баш , ., 25-Окт-21, 08:25 (78)
      - ну, кстати, зря ты наехал на товарищкапитана, ничего неправильного - это ж grep,, ., 26-Окт-21, 08:37 (95)
        
        Тогда да, это получается не эскейп баша, а эскейп для грепа, плюсую , Онаним, 26-Окт-21, 09:46 (97)
    - А вас это, чуб из-под будёновки вывалился , Celcion, 25-Окт-21, 21:46 (91)
      - Это пейс, но все равно, спасибо Спрятал обратно под буденовку , пох., 26-Окт-21, 16:57 (99)
- А ещё оно не написано на множестве других ЯП, потому что это NPM , burjui, 25-Окт-21, 20:53 (90)
Когда уже эту помойку закроют Что ни новость - так про уязвимости в пакетах NPM, Корец, 24-Окт-21, 02:08 (24) //
- Никогда, макакакаки останутся без лефптада, и это - конец , Онаним, 24-Окт-21, 20:39 (71)
Хорошо, хорошо Продолжайте в том же духе , Аноньимъ, 24-Окт-21, 03:45 (26) //
- Junk heap development, как он есть , Онаним, 24-Окт-21, 09:51 (37)
Новое ПО это хорошо , lockywolf, 24-Окт-21, 08:38 (30)
RUSSIAN DID IT , Аноним, 24-Окт-21, 08:48 (31) //
- Просто сколеновстаны не котируются даже у майнеров А вот к shithost lv или как т, пох., 24-Окт-21, 09:21 (33)
Ахах, это прекрасно , Онаним, 24-Окт-21, 08:57 (32)
--donate-level 1 да он, с-ка, еще и жадный , пох., 24-Окт-21, 09:23 (34) //
- И еще ленивый, потому что можно было перекомпилить с уровнем доната 0 , Аноним, 24-Окт-21, 15:23 (58)
Я так понимаю, строка после -u - идентификатор пользователя Интересно, можно ли, Нанобот, 24-Окт-21, 10:11 (38) //
- У него таких акков - тыщщи , Аноним, 24-Окт-21, 11:40 (46)
Нужно принимать решение что если проект набирает например больше 1000 установок , Аноним, 24-Окт-21, 11:03 (40) //
- Сразу на авторизацию по ДНК, с предварительной пробивкой по CODIS , Аноним, 24-Окт-21, 17:11 (65) //
  - удивляет что такая вещь как 2fa среди itшников в 21 веке до сих пор вызывает при, Аноним, 24-Окт-21, 17:23 (66) //
    - Особенно удивляет когда речь идет о нормальной TOTP, а не какой нибудь самопальщ, Kuromi, 25-Окт-21, 07:15 (77)
      - нормальной - это той которой надо клиент от гугля на мабилочке Закрытый, с не, ., 25-Окт-21, 08:28 (79)
        
        Ну вот реально надоело отвечать на подобный бред TOTP - стандарт Альтернативны, Kuromi, 25-Окт-21, 14:15 (82)
        
        А чего ж тогда клиент был открытый, а стал закрытый А, это другое но нахрен н, ., 25-Окт-21, 22:02 (92)
        
        Да что в прикопались к Гугль Аутентификатору, реально ну стал закрытый, так так, Kuromi, 25-Окт-21, 22:36 (93)
        
        Ну вот главный вопрос - зачем он вдруг стал закрытый Что такое о нем знает гугл , ., 25-Окт-21, 22:48 (94)
- Они же орать начнут, что их притесняют и паспортные данные требуют Посмотри, во, Аноним, 04-Ноя-21, 19:27 (101)
Интересна статистика сколько заражённых версий было скачано Чтобы примерно пони, Аноним, 24-Окт-21, 11:07 (41)
Страшно представить сколько скомпрометированных популярных пакетов в npm может б, Аноним, 24-Окт-21, 11:20 (43) //
- СкопроментированныхFixed, Онаним, 24-Окт-21, 20:40 (72)
Ждём подобное в растамановских крейтах -D, Аноним, 24-Окт-21, 11:38 (45) //
- Криворук и ламеро-петросяноват - это раст все виноват https www opennet ru , Аноним, 24-Окт-21, 12:15 (48) //
  - aur И snap - такое же внище И те кто их внедряет - ССЗБ Ты покажи в rpm и dpkg, Аноним, 25-Окт-21, 14:50 (83) //
    - Не разочаровал Молодец https www opennet ru opennews art shtml num 34320http, Аноним, 25-Окт-21, 16:00 (85)
      - Э это к чему Причем здесь это Какое отношение это имеет к репозитарию дистриб, Аноним, 25-Окт-21, 17:25 (86)
        
        Что, опять неправильная репа, не щитаица Дырявый софт в репе, без поддержки - , Аноним, 25-Окт-21, 17:31 (87)
        
        А как это должно считаться если репа левая Ну так покажи, где положили в репу за, Аноним, 25-Окт-21, 17:38 (88)
        
        Сам придумал, сам потребовал оспорить, сам опять спрыгнул с А ты самокрити, Аноним, 25-Окт-21, 18:31 (89)
Дайте угадаю, это очередная безделушка в несколько строк вроде left-pad , Аноним, 24-Окт-21, 12:10 (47) //
- Вы не поверите , Жорш, 24-Окт-21, 12:54 (51)
ну что, уеб-мастера вебдванольные хотели занедорого пошпионить за пользователям, john_erohin, 24-Окт-21, 13:37 (54)
Почему всегда npm , kusb, 24-Окт-21, 13:39 (55) //
- Аудитория с соответствующим уровнем развития, Аноним, 24-Окт-21, 15:28 (59)
- Ничего, скоро пойдут крейты на расте с троянами Если на расте вообще что-то м, Аноним, 24-Окт-21, 16:47 (63)
Троян весит 2 47 MB ссылка https www virustotal com gui file 2a3acdcd76575762b, n00by, 24-Окт-21, 14:09 (56)
Опять эти русские хакеры , Аноним, 24-Окт-21, 15:56 (60)
во вредоносном ПО обнаружено вредоносное ПО Скандалы, интриги, расследования , псевдонимус, 24-Окт-21, 16:30 (62)
Как вариант исключение их списка подверженных майнингу СНГшных стран может быть , Kuromi, 24-Окт-21, 16:48 (64) //
- Очень простое объяснение нет смысла воровать пароли у снгшных растаманщиков, ни, Аноним, 24-Окт-21, 19:03 (68) //
  - Если утащишь пароль жены товарища маёра, неожиданно могут приехать туристы сбор , Аноним, 25-Окт-21, 14:53 (84)
В докере нужно было запускать, Смузи, 24-Окт-21, 22:21 (73) //
- ну майнилась бы крипта в докере что поменялось , Аноним, 25-Окт-21, 03:19 (74) //
  - стилер не запустился бы, всплески аномальной нагрузки grafana спалит, Смузи, 25-Окт-21, 04:48 (75) //
    - Это если в неё кто-нибудь смотрит, в последнее время такое ощущение, что ей поль, Онаним, 25-Окт-21, 09:27 (80)
Понятно, вредоносный скрипт выложил сотрудник местной гебухи За одно позаботи, Аноним, 25-Окт-21, 11:19 (81) //
- учитывая что все местные кульхакеры давно работают либо на товарищмайора либо на, ., 26-Окт-21, 08:42 (96)
А разраб патриот,однако, шайтан, 26-Окт-21, 20:58 (100)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру