https://opennet.me/openforum/vsluhforumID3/137855.html Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63894<br> https://opennet.me/openforum/vsluhforumID3/137855.html#160 Wed, 24 Sep 2025 20:05:15 GMT &gt; поэтому только связки кросс-подписей и web of trust, как бы не смешно это звучало.<br><br>Действительно смешно :)))<br><br>&gt; ps: "!!!" и "**" вашу аргументацию отнюдь не усиливают, наоборот выглядит как истерика.<br><br>Истерика??? Дал безплатно, разжевал что к чему и в итоге награда - назвали истеричкой...<br><br>Меня никогда не перестанет удивлять опеннет...<br><br>Ездите на конференции НПМ и лично проверяйте пгп ключи, не забудьте заскочить к Торвальдосу, там такая же картина как и с НПМ. <br><br>Удачи короче !<br><br><br> https://opennet.me/openforum/vsluhforumID3/137855.html#159 Tue, 23 Sep 2025 19:14:26 GMT &gt; подписанны **доверенным** 3rd independent party, которым верят все(!!!),<br><br>безопастник вскрылся.<br>знайте, что "довереннным" CA я не доверяю, и всегда ищу способы их проверить.<br>сколько уже продажных CA было ? и сколько еще будет ?<br>поэтому только связки кросс-подписей и web of trust, как бы не смешно это звучало.<br><br>ps: "!!!" и "**" вашу аргументацию отнюдь не усиливают, наоборот выглядит как истерика.<br> https://opennet.me/openforum/vsluhforumID3/137855.html#158 Mon, 22 Sep 2025 00:42:30 GMT В сишарпе так же. Но уязвимости ни разу не видел <br> https://opennet.me/openforum/vsluhforumID3/137855.html#157 Mon, 22 Sep 2025 00:19:16 GMT &gt; // вы слишко много задали вопросов. я пока подожду с ответами.<br><br>Вы не воктнули в смысл того, что я сказал. ПГП подписи это тоже самое как стратус, который прячет голову в песок. Пока ключи не подписанны **доверенным** 3rd independent party, которым верят все(!!!), толку от пгп подписей = 0<br><br>Сорри, но на пустопорожнее словоблудие нет время...<br><br> https://opennet.me/openforum/vsluhforumID3/137855.html#156 Sun, 21 Sep 2025 13:02:30 GMT &gt; Я однажды уже показал одному очень крупному проекту, как легко представится<br>&gt; секьюрити офицером от того проекта <br><br>очень хорошо. рад за вас. видимо у сосурити офицера того проекта<br>не было ни пароля ни ключа ни сертификата. что же, значит такой офицер.<br><br>однако: очень легко представиться директором какой-либо фирмы,<br>сказать что в отпуске в таиланде, потерял ноутбук и смартфон, время не ждет,<br>враги повсюду, и приказать бухгалтеру перевести все деньги на безопастный счет.<br>но: в реале это присходит редко, успех - еще реже<br>(с интервенцией в репозитории пакетов несравнимо).<br>почему так ?<br><br>// вы слишко много задали вопросов. я пока подожду с ответами.<br> https://opennet.me/openforum/vsluhforumID3/137855.html#155 Sun, 21 Sep 2025 12:41:58 GMT &gt; вдогонку: NPM может профинансировать митап + пьянку + key signing party в <br>&gt; реале, только для авторизованных проверенных западла не коммитящих авторов.<br><br>И? Что же никто кроме 3 с половиной человека с Веботраста до сих пор не организовали пьянку? И в Кернеле такая же картина, некогда им друг друга в реале перепроверять, делать кросс подписи, проверив живьем морду или на худой конец тот же паспорт. И где гарантии опять же простым смертным не присутвующим на пьянке верить тем кто в теории мог бы сделать (левые?) кросс подписи? Просто по имени ? Или просто что публичный ключ "первым пришел"? (кстати первыми как раз и могут быть от засланных казчков) на публичных серверах<br><br>Так что ваша секюрная ПГП подпись абсолютно не имеет никакого доверия. Пшик, который любой может настрогать представившись тем кто он на самом деле не есть<br><br><br> https://opennet.me/openforum/vsluhforumID3/137855.html#154 Sun, 21 Sep 2025 12:33:10 GMT &gt;&gt; А что мешает хулигану сделать тоже самое и подписать своим гпг?<br>&gt; хулиган отсутствет в списке авторизованных проверенных западла не коммитящих авторов NPM. <br><br>Вот здесь поподробнее... - кем проверен и кем авторизован?<br><br><br>&gt;&gt; Он с таким же успехом может загрузить свой публичный ключ указав там <br>&gt;&gt; ваше имя.<br>&gt; может.<br>&gt; но ключ авторизованного проверенного западла не коммитящего автора NPM пришел первым.<br><br>Пришел? От кого? И почему первым?<br><br><br><br>&gt; еще вопросы ?<br><br>Я однажды уже показал одному очень крупному проекту, как легко представится секьюрити офицером от того проекта не будь таковым... Есть еще вопросы?<br><br><br><br>&gt;&gt; Это все равно что самому себе паспорт выдавать, веры то только такому <br>&gt;&gt; паспорту - ноль <br>&gt; веры любому паспорту РФ из региона ДИЧ - ноль.<br>&gt; и они затаскивают свои привычки на остальную территорию РФ.<br>&gt; не хотите читать политоту и многонационалку ? <br><br>Не, совсем не хочу, и вам не советую лезть с политикой в технику<br><br>&gt; суйте свои аналогии поглубже в, не выпускайте их в паблик.<br><br>Хами https://opennet.me/openforum/vsluhforumID3/137855.html#153 Sat, 20 Sep 2025 06:37:31 GMT вдогонку: NPM может профинансировать митап + пьянку + key signing party в реале,<br>только для авторизованных проверенных западла не коммитящих авторов.<br> https://opennet.me/openforum/vsluhforumID3/137855.html#152 Sat, 20 Sep 2025 06:34:02 GMT &gt; А что мешает хулигану сделать тоже самое и подписать своим гпг?<br><br>хулиган отсутствет в списке авторизованных проверенных западла не коммитящих авторов NPM.<br><br>&gt; Он с таким же успехом может загрузить свой публичный ключ указав там <br>&gt; ваше имя.<br><br>может.<br>но ключ авторизованного проверенного западла не коммитящего автора NPM пришел первым.<br><br>еще вопросы ?<br><br>&gt; Это все равно что самому себе паспорт выдавать, веры то только такому <br>&gt; паспорту - ноль <br><br>веры любому паспорту РФ из региона ДИЧ - ноль.<br>и они затаскивают свои привычки на остальную территорию РФ.<br>не хотите читать политоту и многонационалку ? суйте свои аналогии поглубже в,<br>не выпускайте их в паблик.<br>