1. JavaScript / Говнокод #27795

    +1

    1. 1
    npm install

    очередной npm пакет с трояном

    https://www.bleepingcomputer.com/news/security/popular-coa-npm-library-hijacked-to-steal-user-passwords/

    Запостил: Her, 05 Ноября 2021

    Комментарии (10) RSS

    • Это надо было запостить с учётки 'Шуфутинский петух'
      Ответить
    • Лол. Причём несколько подобных инцидентов подряд...

      Мыши плакали, кололись, но продолжали юзать тупые пароли?
      Ответить
    • Поетому я использую минимум сторонних зависимостей и пишу больше свои решения. А на работе есть аудированное безопасниками зеркало npm.
      Ответить
      • сторонние либы это пиздец, да

        достаточно вспомнить фб, который уже раза два своим чудным сдк ставил раком кучу мобильных проектов

        или какая-нибудь хрень, которая начинает рандомно крешить приложение

        про течи и бреши я вообще молчу
        Ответить
    • Надо было маскироваться под пакеты ltrim и rtrim, тогда никто бы не выкупил.
      Ответить
      • Сук, я обосрался с мемасом, там еще тривиальнее, left-pad и right-pad.
        Ответить
        • Помнится, тут кто-то заливал на "npm" пакеты в духе IsOne, IsTwo и т.п. Интересно, кто-то их поюзал?
          Ответить
          • Анал этически я вижу два варианта:
            а) автор left-pad чего-то там важного наконтребутил, поэтому все юзали его поделки
            б) ползатели nude.js — полные идиоты и достаточно пофорсить IsOne на стекоберстлоу
            Ответить

    Добавить комментарий