Специальный вредоносный код в npm-пакете для России и Белоруссии

Автор node-ipc и есть автор уязвимости. Соответственно, ему никакой апрув ни от кого не требовался. Судя по его же гитхабу, зовут его Brandon Nozaki Miller, живёт он в Калифорнии и работает в Ocra на должности Director of Front End Technology and Javascript Engineering.

Ещё у него есть вложик на ютубе: https://www.youtube.com/c/BrandonNozakiMiller/

Речь не о продакшен коде. Речь о пет-прожектах. В крупной конторе желательно их тоже согласовывать

В issues приехал десант с реддита, там жара топ уровня началась

Я вообще амерам очень завидую - реддит реально офигенная площадка для масс троллинга, нам до этого пердолить и пердолить :-(

Речь не о продакшен коде. Речь о пет-прожектах

Так это не пет проджект, просто если твой условный оракл использует либу А для решения крупицы своих проблем, то логично либо автора взять в штат либо отправить нескольких хомячков в коммитеры чтоб либа работала а) как надо б) как тебе надо в) иметь возможность моментального фикса или фича-пуша.

А на прям пет проекты всем класть - можешь хоть урановый лом в ртути купать, только не болей чтоб работу не пропускать, и по возможности не позорь [партию] компанию бегая с голой опой и светящимся ломом по детским площадкам.

дайте инструкцию как в alt linux пустить весь трафик через tor или через shadowsocks и будет достаточно.

Ещё у него есть вложик на ютубе

Никакой политоты там не видать. И чего это мужика из Калифорнии так торкнуло? Похоже от жабаскрипта у всех мозги набекрень съезжают со временем.

Что там за тема про ослепляющие лазеры пошла? Я чот не догнал.

А на прям пет проекты всем класть

Вот не совсем так. Есть чудесный пункт «конфликт интересов»

Что там за тема про ослепляющие лазеры пошла? Я чот не догнал.

Там же написали «перед вами показательный срез текущего опенсорс движения» :-D

Вот не совсем так. Есть чудесный пункт «конфликт интересов»

Прост предполагается что тебе юристы объяснили на старте что будет если ты занимаешься по работе системой наведения для условного жавелина, и попутно в пет проект «опенсорс система наведения какашек в вентилятор» сливаешь корпоративные идеи и результаты дорогих ниокров.
Но я честно не знаю ни одного человека, которому не хватало бы работы на работе, что бы петить тоже самое что и на работе :-)

Ты очень узко мыслишь. В крупной ит-компании конфликт интересов это очень широкая область

Представь что ты в условном гуглояндексе. ДБ как пет-прожект? А нет конфликта с ydb/bigtable? Коммит в докер? А облако/кубы не жмёт? Тупо пилишь либу для жабы? А там точно нет корп наработок (идеи кстати считаются)? И таких примеров масса

как можно по IP адресу судить о причастности человека к злодеяниям фюрера? может этот человек только что с митинга вернулся где его фараоны побили дубинками а тут такой сюрприз вместо поддержки. может этот человек писал статью с разоблачением правительства а теперь одни смайлики. глупо как то.

Разработчик популярного npm-пакета node-ipc добавил в проект код, который совершает запросы на удаленный сервер и при совпадении IP-адреса с Российским или Белорусским перезаписывает содержимое всех файлов на жестком диске на эмоджи-сердечко (♥).

А как такое вообще возможно? Разе вебсервер имеет права доступа где-то за пределами директории с сайтом?

Неужели у кого-то вебсерверы работают от рута?

Ну вряд ли украинцы или европейцы будут сидеть как-то с российских айпи адресов. Ведь там настоящие фашисты. Или вы по недоразумению позволяете себе президента Российской Федерации называть фюрером?

хз,сейчас такая истерия из-за влияния США и их мощнейшей машины пропаганды - что возможно наоборот в бонус будет, типа не просто разраб но и человек с активной социальной и политической позицией.

Ну в глазах отдельных упоротых, наверное. В целом не думаю.

А как такое вообще возможно? Разе вебсервер имеет права доступа где-то за пределами директории с сайтом?

Неужели у кого-то вебсерверы работают от рута?

Я думаю, что в основном это актуально для разработчиков, кто использует npm пакеты от своего юзера локально.

Тем более, что обычно самые ценные файлы как раз в домашней директории.

Да ты подожди, это начало. Много диверсантов уже пробрались в европу и в США. IP это полумеры, еще будут помечать русских там. Ну, например русские обязаны будут носить большую красную звезду на груди. Только в целях безопасности и свободы. То же самое можно ввести и в интернетиках.

Вообще я уже основное хранилище вынес в отдельного пользователя со своими правами. Ну его нафиг еще раз собирать коллекцию в 600гб.

Вообще я уже основное хранилище вынес в отдельного пользователя со своими правами. Ну его нафиг еще раз собирать коллекцию в 600гб.

Могу порекомендовать инкрементальные снапшоты на такой случай. Впрочем оно добавляет только защиту от порчи данных и не добавляет безопасности.

Возможно стоит посмотреть на fairjail и прочие подобные штуки

Сложна. У меня до сих пор рейзерфс и весьма ограниченные ресурсы. Я и хранилище книг, фильмов делаю в очень пережатом формате, ибо трафика 15гб в месяц.

«ура патриоты» это скорее всего такие пузатые мужички валяющиеся с пивом на диванах перед телевизором где им промывают мозги. вряд ли они способны куда то пробраться.

ибо трафика 15гб в месяц

это где такой ужас в 21 веке? какая то глухая деревня в тайге?

А травля по этническому признаку устроена не на них, а на всех. На кого пальцем покажут, тот и диверсант, не обольщайся.

Да, какая то глухая деревня в тайге. В европах и сша на таком расстоянии от крупных городов вообще интернета нет никакого обычно. У нас с этим еще очень и очень хорошо.

травлю устраивают такие же пивные мужички на диванах если только. разумный человек такими глупостями заниматься не будет.

лучше не куда. в мобильных тарифах и то больше.

Разумность тут не при чем, это официальная государственная политика. Если ты пойдешь против нее, травить будут уже тебя. Вот и выбирай чья рубашка ближе к телу.

Это и есть мобильный тариф. Альтернатив нет, ибо монополия. Но и это уже хорошо в 400 км от крупных городов.

Ух ты. Призывы к миру === вредоносный код. Мда уж…

Там кучка костылей поверх классической пакетной системы. Например, ядро не обновляется через apt, для обновления ядра есть отдельный скрипт update-kernel.

Вообще-то обновляется. update-kernel Черепановым был написан достаточно недавно. И это удобно.

Врунишка.

Врунишка.

Я? Это ты, очевидно, рукожоп, который не знает, как работает apt-get, и где настраивается.

1. Обновление посредством apt-get dist-upgrade отключено в /etc/apt/apt.conf, там, вот чудо, можно конфигурацию менять.
2. Несмотря на п1, новые ядра и модули можно ставить посредством apt-get install <список модулей>.