1. JavaScript / Говнокод #27795

    +1

    1. 1
    npm install

    очередной npm пакет с трояном

    https://www.bleepingcomputer.com/news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords/

    Запостил: Her, 05 Ноября 2021

    Комментарии (10) RSS

    • ava nepekam 05.11.2021 21:35 # +2

      Это надо было запостить с учётки 'Шуфутинский петух'
      Ответить

    • ava bormand 06.11.2021 07:33 # −1

      Лол. Причём несколько подобных инцидентов подряд...

      Мыши плакали, кололись, но продолжали юзать тупые пароли?
      Ответить

    • ava JaneBurt 06.11.2021 14:38 # 0

      Поетому я использую минимум сторонних зависимостей и пишу больше свои решения. А на работе есть аудированное безопасниками зеркало npm.
      Ответить

      • ava Desktop 06.11.2021 14:45 # 0

        сторонние либы это пиздец, да

        достаточно вспомнить фб, который уже раза два своим чудным сдк ставил раком кучу мобильных проектов

        или какая-нибудь хрень, которая начинает рандомно крешить приложение

        про течи и бреши я вообще молчу
        Ответить

    • ava ObeseYoung 06.11.2021 14:42 # 0

      Надо было маскироваться под пакеты ltrim и rtrim, тогда никто бы не выкупил.
      Ответить

      • ava ObeseYoung 06.11.2021 16:42 # +1

        Сук, я обосрался с мемасом, там еще тривиальнее, left-pad и right-pad.
        Ответить

        • ava bormand 06.11.2021 16:47 # 0

          Помнится, тут кто-то заливал на "npm" пакеты в духе IsOne, IsTwo и т.п. Интересно, кто-то их поюзал?
          Ответить

          • ava ObeseYoung 06.11.2021 17:17 # 0

            Анал этически я вижу два варианта:
            а) автор left-pad чего-то там важного наконтребутил, поэтому все юзали его поделки
            б) ползатели nude.js — полные идиоты и достаточно пофорсить IsOne на стекоберстлоу
            Ответить

    Добавить комментарий