forum.opennet.ru - "Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю" (32)

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю"	+/–
Сообщение от opennews (??), 31-Мрт-26, 22:44
Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов - с 03:21 по 6:15 (MSK)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65109
Ответить \| Правка \| Cообщить модератору

Оглавление

Во черт Надеюсь я npm install позже писал , Аноним (2), 22:44 , 31-Мрт-26, (2) +1
Хорошая новость Нужно больше лефтпадов в крейтах , Tron is Whistling (?), 22:44 , 31-Мрт-26, (3) +6
Кучно пошли, к дождю , Аноним (7), 23:14 , 31-Мрт-26, (7) +2
Миллионы глаз на изи нашли Что происходит в менеджерах где 10 калек на в расте , Анрним (?), 23:25 , 31-Мрт-26, (9) +2
Да известно как это делается Либо через почту, либо через GitHub Actions , Аноним (10), 23:44 , 31-Мрт-26, (10)

Неужели не из-за ошибок памяти си , Аноним (13), 00:32 , 01-Апр-26, (13) +3

Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошар, Аноним (2), 03:44 , 01-Апр-26, (21) –1

axios уже давно не нужен, есть нативный fetch Внимание Если вам кажется, что, q (ok), 00:11 , 01-Апр-26, (12) +5

А вот и целевая аудитория таких взломов Рассуждает о абсолютно неважных вещах, , Аноним (14), 00:33 , 01-Апр-26, (14) –6

Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумыва, q (ok), 02:08 , 01-Апр-26, (17) +4

Да, минусы есть Но зато шустренько код пишеться, как будто не программируешь, а, Аноним (2), 03:49 , 01-Апр-26, (23) +1

ога, по клаве бьешь do this ticket don t make any mistakesи потом просишь закомм, Аноним (29), 07:20 , 01-Апр-26, (29) +2

а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообно, анон (?), 10:47 , 01-Апр-26, (36)

Unix принципы В JS и фронте Чего , Аноним (28), 07:20 , 01-Апр-26, (28) –1

Сразу видно гуманитария, который считает, что UNIX существует в изоляции от всел, q (ok), 13:32 , 01-Апр-26, (42)

Как хорошо что я всю эту js бяку запускаю в докере , Аноним (15), 01:24 , 01-Апр-26, (15) –1

Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего, Аноним (16), 01:41 , 01-Апр-26, (16) +3

раз в неделю одно и тоже что питон, что жс, что раст, 12yoexpert (ok), 02:16 , 01-Апр-26, (18) –1

Мда, на бреинфаке нет, переходи на него А хотя, стой ты же с си Э-э-э Нич, Аноним (2), 04:47 , 01-Апр-26, (25) –1
Мимо В случаях с crates io был только тайпсквоттинг , Аноним (-), 04:54 , 01-Апр-26, (26) –1

говори себе это почаще, 12yoexpert (ok), 09:27 , 01-Апр-26, (32)

А зачем себе что-то говорить, если врешь ты Ты это знаешь, все это знают Чего , Аноним (41), 13:11 , 01-Апр-26, (41) +1

вы не понимаете, это другое , Аноним (44), 14:28 , 01-Апр-26, (44)

Тебе в школе экспертов не рассказали об отличиях между компрометацией популярног, Аноним (47), 17:20 , 01-Апр-26, (47)

Принцип существования такой-же как и у NPM Расскажи мне почему у вас должно быт, Аноним (14), 10:11 , 01-Апр-26, (34)

патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пя, пох. (?), 10:22 , 01-Апр-26, (35)

Зато на Си каждый день по эксплойту, вот к чему надо стремиться , Аноним (37), 10:47 , 01-Апр-26, (37) –1

Если в коде больше дыр, то он быстрее работает , Соль земли2 (?), 12:20 , 01-Апр-26, (38)

Это будет продолжаться пока хранилища пакетов не перейдут на блокчейн и мультипо, Аноним (43), 13:41 , 01-Апр-26, (43) +1

Просто релизы продуктов должны всегда подписываться двумя верифицированными ключ, menangen (?), 15:26 , 01-Апр-26, (45)
будут точно также терять приватные ключи, как сейчас апи-ключи от npm , Аноним (46), 15:29 , 01-Апр-26, (46)

Будут, но реже , Макан Негодяй (?), 17:57 , 01-Апр-26, (48)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 31-Мрт-26, 22:44 +1 +/–

Во черт! Надеюсь я npm install позже писал.

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44 +6 +/–

Хорошая новость.
Нужно больше лефтпадов в крейтах.

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 31-Мрт-26, 23:14 +2 +/–

Кучно пошли, к дождю...

Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Анрним (?), 31-Мрт-26, 23:25 +2 +/–

Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 31-Мрт-26, 23:44 +/–

> Как именно был перехвачен токен доступа не уточняется.
Да известно как это делается. Либо через почту, либо через GitHub Actions.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

12. Сообщение от q (ok), 01-Апр-26, 00:11 +5 +/–

axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #28

13. Сообщение от Аноним (13), 01-Апр-26, 00:32 +3 +/–

Неужели не из-за ошибок памяти си?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21

14. Сообщение от Аноним (14), 01-Апр-26, 00:33 –6 +/–

А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 01-Апр-26, 01:24 –1 +/–

Как хорошо что я всю эту js бяку запускаю в докере)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (16), 01-Апр-26, 01:41 +3 +/–

Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от q (ok), 01-Апр-26, 02:08 +4 +/–

Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #23, #36

18. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16 –1 +/–

раз в неделю одно и тоже: что питон, что жс, что раст

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #26, #37

21. Сообщение от Аноним (2), 01-Апр-26, 03:44 –1 +/–

Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

23. Сообщение от Аноним (2), 01-Апр-26, 03:49 +1 +/–

Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

25. Сообщение от Аноним (2), 01-Апр-26, 04:47 –1 +/–

Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (-), 01-Апр-26, 04:54 –1 +/–

> что раст
Мимо. В случаях с crates.io был только тайпсквоттинг.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #32, #34

28. Сообщение от Аноним (28), 01-Апр-26, 07:20 –1 +/–

Unix принципы? В JS и фронте?? Чего?))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #42

29. Сообщение от Аноним (29), 01-Апр-26, 07:20 +2 +/–

ога, по клаве бьешь do this ticket don't make any mistakes
и потом просишь закомммтить и задеплоитьб

и все это даже не приходя в сознание

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27 +/–

говори себе это почаще

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #41

34. Сообщение от Аноним (14), 01-Апр-26, 10:11 +/–

Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #35

35. Сообщение от пох. (?), 01-Апр-26, 10:22 +/–

патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает.
Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от анон (?), 01-Апр-26, 10:47 +/–

>те, кто ставят все пакеты подряд
а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

37. Сообщение от Аноним (37), 01-Апр-26, 10:47 –1 +/–

Зато на Си каждый день по эксплойту, вот к чему надо стремиться!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #38

38. Сообщение от Соль земли2 (?), 01-Апр-26, 12:20 +/–

Если в коде больше дыр, то он быстрее работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Аноним (41), 01-Апр-26, 13:11 +1 +/–

А зачем себе что-то говорить, если врешь ты? Ты это знаешь, все это знают. Чего тут говорить) Вопрос исключительно к твоей совести)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #44

42. Сообщение от q (ok), 01-Апр-26, 13:32 +/–

Сразу видно гуманитария, который считает, что UNIX существует в изоляции от вселенной, и что принципы UNIX не применимы абсолютно нигде, кроме самого UNIX. Ну загугли тогда single-responsibility principle, что ли, если по-английски бо-бо, и если есть выход в нормальный интернет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

43. Сообщение от Аноним (43), 01-Апр-26, 13:41 +1 +/–

Это будет продолжаться пока хранилища пакетов не перейдут на блокчейн и мультиподпись.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #46

44. Сообщение от Аноним (44), 01-Апр-26, 14:28 +/–

"вы не понимаете, это другое"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #47

45. Сообщение от menangen (?), 01-Апр-26, 15:26 +/–

Просто релизы продуктов должны всегда подписываться двумя верифицированными ключами разработчика - один для коммитов, второй для релиза уже ввиде tar.gzip.sha256 и загрузки его в npm хранилище
Да и вообще, подписывать каждый коммит в репе это не проблема в наше то непростое время

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от Аноним (46), 01-Апр-26, 15:29 +/–

будут точно также терять приватные ключи, как сейчас апи-ключи от npm.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #48

47. Сообщение от Аноним (47), 01-Апр-26, 17:20 +/–

Тебе в школе экспертов не рассказали об отличиях между компрометацией популярного пакета и тайпсквоттингом? Давай я объясню тебе на пальце. В первом случае к тебе сзади подходит чёрный властелин и начинает тебя любить. Во втором тебе издалека показывают палец и ждут, когда ты сам подойдёшь и на него сядешь. Чувствуешь разницу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от Макан Негодяй (?), 01-Апр-26, 17:57 +/–

Будут, но реже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 31-Мрт-26, 22:44	+1 +/–
Во черт! Надеюсь я npm install позже писал.
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от Tron is Whistling (?), 31-Мрт-26, 22:44	+6 +/–
Хорошая новость. Нужно больше лефтпадов в крейтах.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Аноним (7), 31-Мрт-26, 23:14	+2 +/–
Кучно пошли, к дождю...
Ответить \| Правка \| Наверх \| Cообщить модератору

9. Сообщение от Анрним (?), 31-Мрт-26, 23:25	+2 +/–
Миллионы глаз на изи нашли. Что происходит в менеджерах где 10 калек на в расте никто не знает и знать не хочет.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. Сообщение от Аноним (10), 31-Мрт-26, 23:44	+/–
> Как именно был перехвачен токен доступа не уточняется. Да известно как это делается. Либо через почту, либо через GitHub Actions.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

12. Сообщение от q (ok), 01-Апр-26, 00:11	+5 +/–
axios уже давно не нужен, есть нативный fetch(). Внимание! Если вам кажется, что в axios есть какая-то киллер-фича, то я заявлю, что она легко реализуется без axios -- при помощи dependency injection. Точка. Если вы используете axios как DI-контейнер (представляете? есть и такие!), то вы глупец, ничего не смыслящий в UNIX-принципе "каждая либа должна заниматься только одной хренью."
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #28

13. Сообщение от Аноним (13), 01-Апр-26, 00:32	+3 +/–
Неужели не из-за ошибок памяти си?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #21

14. Сообщение от Аноним (14), 01-Апр-26, 00:33	–6 +/–
А вот и целевая аудитория таких взломов. Рассуждает о абсолютно неважных вещах, лишь бы не задумываться о том, что такое NPM-пакеты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 01-Апр-26, 01:24	–1 +/–
Как хорошо что я всю эту js бяку запускаю в докере)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (16), 01-Апр-26, 01:41	+3 +/–
Ну когда-то ведь она из докера выходит, либо к тебе, либо к пользователям твоего продукта. Шило в мешке не утаишь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

17. Сообщение от q (ok), 01-Апр-26, 02:08	+4 +/–
Аудитория таких взломов -- те, кто ставят все пакеты подряд, лишь бы не задумываться о том, что каждый новый пакет усложняет сопровождение проекта и ставит его под угрозу supply chain attacks.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #23, #36

18. Сообщение от 12yoexpert (ok), 01-Апр-26, 02:16	–1 +/–
раз в неделю одно и тоже: что питон, что жс, что раст
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25, #26, #37

21. Сообщение от Аноним (2), 01-Апр-26, 03:44	–1 +/–
Не, если бы GitHub был на си а не на руби, то можно было бы зайти от рута, пошарить по их хостингу, забрать токены с нужных реп, а потом грузить по ним что хоч.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

23. Сообщение от Аноним (2), 01-Апр-26, 03:49	+1 +/–
Да, минусы есть. Но зато шустренько код пишеться, как будто не программируешь, а просто по клаве стучишь, фреймворки там усе переваривают, проблемки решают и заказчики довольны.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #29

25. Сообщение от Аноним (2), 01-Апр-26, 04:47	–1 +/–
Мда, на бреинфаке нет, переходи на него. А хотя, стой ты же с си... Э-э-э... Ничего не делай.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (-), 01-Апр-26, 04:54	–1 +/–
> что раст Мимо. В случаях с crates.io был только тайпсквоттинг.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #32, #34

28. Сообщение от Аноним (28), 01-Апр-26, 07:20	–1 +/–
Unix принципы? В JS и фронте?? Чего?))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #42

29. Сообщение от Аноним (29), 01-Апр-26, 07:20	+2 +/–
ога, по клаве бьешь do this ticket don't make any mistakes и потом просишь закомммтить и задеплоитьб и все это даже не приходя в сознание
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23

32. Сообщение от 12yoexpert (ok), 01-Апр-26, 09:27	+/–
говори себе это почаще
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #41

34. Сообщение от Аноним (14), 01-Апр-26, 10:11	+/–
Принцип существования такой-же как и у NPM. Расскажи мне почему у вас должно быть лучше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #35

35. Сообщение от пох. (?), 01-Апр-26, 10:22	+/–
патамушта людшки способные разбираться в закорючках и так неплохо кушают, все пятнадцать, а claude откажется писать троянца, ей хард промпт запрещает. Поэтому троянцы будут только китайские, что сильно уменьшит их количество. То ли дело когда каждый запрещенный на опеннете может даже без ыы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34

36. Сообщение от анон (?), 01-Апр-26, 10:47	+/–
>те, кто ставят все пакеты подряд а также те, кто не смотрит зависимости зависимостей и вслепую выполняет автообновления
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

37. Сообщение от Аноним (37), 01-Апр-26, 10:47	–1 +/–
Зато на Си каждый день по эксплойту, вот к чему надо стремиться!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #38

38. Сообщение от Соль земли2 (?), 01-Апр-26, 12:20	+/–
Если в коде больше дыр, то он быстрее работает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37

41. Сообщение от Аноним (41), 01-Апр-26, 13:11	+1 +/–
А зачем себе что-то говорить, если врешь ты? Ты это знаешь, все это знают. Чего тут говорить) Вопрос исключительно к твоей совести)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32 Ответы: #44

42. Сообщение от q (ok), 01-Апр-26, 13:32	+/–
Сразу видно гуманитария, который считает, что UNIX существует в изоляции от вселенной, и что принципы UNIX не применимы абсолютно нигде, кроме самого UNIX. Ну загугли тогда single-responsibility principle, что ли, если по-английски бо-бо, и если есть выход в нормальный интернет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28

43. Сообщение от Аноним (43), 01-Апр-26, 13:41	+1 +/–
Это будет продолжаться пока хранилища пакетов не перейдут на блокчейн и мультиподпись.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #45, #46

44. Сообщение от Аноним (44), 01-Апр-26, 14:28	+/–
"вы не понимаете, это другое"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #41 Ответы: #47

45. Сообщение от menangen (?), 01-Апр-26, 15:26	+/–
Просто релизы продуктов должны всегда подписываться двумя верифицированными ключами разработчика - один для коммитов, второй для релиза уже ввиде tar.gzip.sha256 и загрузки его в npm хранилище Да и вообще, подписывать каждый коммит в репе это не проблема в наше то непростое время
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #43

46. Сообщение от Аноним (46), 01-Апр-26, 15:29	+/–
будут точно также терять приватные ключи, как сейчас апи-ключи от npm.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #43 Ответы: #48