Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Злоумышленники смогли внедрить бэкдор в NPM-пакет от разработчиков криптовалюты XPR"	+/–
Сообщение от opennews (??), 27-Апр-25, 10:06
В NPM-пакете xrpl  выявлен вредоносный код (CVE-2025-32965),  отправляющий на внешний сервер мастер-ключи от криптокошельков и закрытые ключи криптовалют. Пакет xrpl позиционируется как официально рекомендованная библиотека (xrpl.js) для взаимодействия JavaScript- и TypeScript-приложений, работающих через браузер или  Node.js,  с децентрализовнной платёжной сетью XRP Ledger (Ripple), развивающей криптовалюту XRP, занимающую 4 место по капитализации (уступает только BTC, ETH и USDT). Библиотека xrpl.js насчитывает  165 тысяч загрузок за предшествующую инциденту неделю, используется в качестве зависимости в 143 NPM-пакетах и задействована во многих криптовалютных приложениях и сайтах... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63145
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–3 +/–
Сообщение от Аноним (2), 27-Апр-25, 10:10
Интересно, в теории, если люди потеряли деньги, то в полицию какой страны они должны обращаться? В той в которой просиживать сами или где проживает владелец NPM аккаунта?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–6 +/–
	Сообщение от Аноним (3), 27-Апр-25, 10:16
	в полицию страны, в которой изобрели язык программирования, который не различает pure-функции от impure. Будь яваскрипт таким языком, пользователи бы заметили, что функция, которая должна была быть pure, почему-то изменила сигнатуру и стала требовать какого-то рантайма, способного обрабатывать эффекты вида "обратиться к http-ресурсу".
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+3 +/–
	Сообщение от YetAnotherOnanym (ok), 27-Апр-25, 14:01
	> пользователи бы заметили, что функция Ты слишком многого хочешь от пользователей.
	Ответить | Правка | Наверх | Cообщить модератору

	75. Скрыто модератором	–2 +/–
	Сообщение от Васян (?), 27-Апр-25, 15:43
	правильно не яваскрипт, а джаваскрипт. Потому что jazz а не язь
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	90. Скрыто модератором	+/–
	Сообщение от Аноним (3), 27-Апр-25, 17:44
	Остров называется Ява. Язык Ява назвали в честь острова. Язык ЯваСкрипт назвали с целью примазаться к славе языка Ява. Буква "J j" всегда была и остается недобуквой -- лишь вариантом написания буквы "I i", примерно как буква, выглядящая как отзеркаленная "S s" ("Ƨ ƨ") -- это лишь вариант написания "Г г".
	Ответить | Правка | Наверх | Cообщить модератору

	102. Скрыто модератором	+/–
	Сообщение от myster (ok), 27-Апр-25, 21:32
	> правильно не яваскрипт, а джаваскрипт. Потому что jazz а не язь можно и так и так. Если тебе станет легче, в испанском языке на уровне языка звуки с "й" можно свободно менить на "дж" (например "Yo" произносится и как "Йо", и как "Джо") и это никого абсолютно не парит, просто одни произносят так, а другие так.
	Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

	5. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–1 +/–
	Сообщение от Аноним (5), 27-Апр-25, 10:58
	Пока это касается 2-3 человек, если это не Илоны Маски, в другой стране. Никто с этим разбираться не будет. Пока это не массово, никто даже и не поймет. Тем более какая нибудь полиция мало понимает крипту. Вот Фсб, или Фбр, еще могут взяься. Если у владельца крипты много крипты.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	26. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+4 +/–
	Сообщение от Аноним (26), 27-Апр-25, 12:03
	В ту, в которой легализована крипта) Полиция не занимается восстановлением справедливости, она занимается поддержкой правового порядка. Вроде ж в 9 классе на обществознании проходят..
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	63. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (63), 27-Апр-25, 15:06
	встречный вопрос: а кто занимается  восстановлением справедливости? и как продолжение (потому что, подозреваю, ответ будет "никто, кроме вас самих"), как государство, и органы правопорядка, будут относиться к тому, что я самостоятельно начну  восстанавливать справедливость, ну естественно в рамках текущего законодательства.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–1 +/–
	Сообщение от дохтурЛол (?), 27-Апр-25, 15:49
	Как кто? Бэтмэн^W Шаман и Пиз*улина.
	Ответить | Правка | Наверх | Cообщить модератору

	86. Скрыто модератором	+/–
	Сообщение от Аноним (-), 27-Апр-25, 17:20
	Супергерои должны жёстко расправлятся в негодяями которые имеют погоны, связи и высшие должности.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–1 +/–
	Сообщение от Логика дремлет (?), 27-Апр-25, 16:43
	Если ты говоришь о спасении утопающего, то похвалят, иначе - накажут за оставление в опасности. Если о смене власти, то государство, очевидно, будет против. А полиция ему подчинена, будет исполнять, что прикажут. Ликбез окончен, или ещё вопросы?
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

	87. Скрыто модератором	+/–
	Сообщение от Аноним (-), 27-Апр-25, 17:21
	Супергерои должны жёстко расправлятся в негодяями которые имеют погоны, связи и высшие должности. Вся надежда на Бетмена.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+1 +/–
	Сообщение от Аноним (89), 27-Апр-25, 17:34
	Справедливость — понятие философское, а не юридическое. Юриспруденция в какой-то мере основывается на философии (впрочем, что только в мире людей на ней не основывается), но не является её продолжением и потому не оперирует понятием справедливости (которое суть оценочное понятие без чёткой формулировки). Поэтому справедливость может восстановить (установить) только ты сам и твой друг Платон.
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

	94. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (94), 27-Апр-25, 18:13
	> а кто занимается  восстановлением справедливости? Ну т.к. справедливость у каждого своя, то никто. ну вот один пахал как вол 24*7, заработал честно себе на домик с газоном и автомобиль. А рядом другой пил теже 24*7 и вот, что одному справедливо, чтобы он имел домик, а второй не имел, то второму "у них денег куры не клюют, а у нас на водку не хватает".. и оба вполне уверены, что именно его справедливость самая справедливая. ну а закон защищать будет только одного из них, или первого или второго.. (ну или обоих нагнёт и отправит в газенваген, т.к. формой носа, происхождением или еще чем под текущий закон не попали)
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

	50. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (94), 27-Апр-25, 13:16
	По месту совершения преступления... комп с которого спёрли, в момент сперания находился в какой стране ? вот там и подавайте.. но тут несколько вопросов, если в той стране не легализованы криптовалюты, то у вас ничего и не украли :). В некоторых странах могут поинтересоваться откуда оно у вас. Налоги там, еще чтонить... ну и да, найдут и вернут сильно врядли.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	57. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от YetAnotherOnanym (ok), 27-Апр-25, 14:05
	> в полицию какой страны они должны обращаться? В полицию той страны, на территории которой они находились в момент совершения в отношении них противоправных действий. Ваш К.О.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	79. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (79), 27-Апр-25, 16:03
	В полицию того государства, к которому себя причисляют.... Упс, они же у нас либертарианцы, против крыши, поэтому ни к какой себя не причисляют ... Ну раз против крыши - то к крыше обращаться и не должны.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	81. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Логика дремлет (?), 27-Апр-25, 16:23
	А если они за диктатуру пролетариата? Самосуд у нас запрещён, непорядок.
	Ответить | Правка | Наверх | Cообщить модератору

	108. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (108), 27-Апр-25, 22:17
	У "вас" - это у кого?
	Ответить | Правка | Наверх | Cообщить модератору

4. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+3 +/–
Сообщение от Аноним (4), 27-Апр-25, 10:34
Если вы не можете развернуть локальную ноду на своем железе, то это не крипта, а скам. Все токены в любой момент могут навернуться.
Ответить | Правка | Наверх | Cообщить модератору

	64. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+2 +/–
	Сообщение от Alex (??), 27-Апр-25, 15:08
	Какую б....ть ноду? Это называется холодный кошелек, Electrum / Sparrow например. Только совсем дурачки хранят крипту в обменниках и всяких бинансах.
	Ответить | Правка | Наверх | Cообщить модератору

	104. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–1 +/–
	Сообщение от myster (ok), 27-Апр-25, 21:41
	Так ноду можно развернуть Пример для BTC: https://forklog.com/exclusive/ustanavlivaem-polnuyu-nodu-bit... Вот для XPR: https://xrpl.org/docs/infrastructure/installation/install-ri... Для других криптовалют +- тоже самое.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	109. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Alex (??), 27-Апр-25, 22:19
	Зачем вам полная нода? Сразу видно человека только читавшего про крипту...Холодные воллеты качают только послдение блоки.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+4 +/–
Сообщение от SubGun (ok), 27-Апр-25, 11:04
То есть библиотеку, фактически работающую с финансами, никто не аудитит?
Ответить | Правка | Наверх | Cообщить модератору

	38. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от onanim (?), 27-Апр-25, 12:35
	так это же не финансы, а фантики. ну потеряет какой-то дурак миллионы фантиков, ну и что из этого?
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (63), 27-Апр-25, 15:02
	Смотрю из окна на крипто-миллионеров в шортах, тапающих на хомяка. И хочется сказать "Ценность -  в глазах смотрящего", перефразируя известную истину.
	Ответить | Правка | Наверх | Cообщить модератору

	65. Скрыто модератором	–1 +/–
	Сообщение от Alex (??), 27-Апр-25, 15:10
	Милый, это уже много лет - реальные финансы, которыми пользуется и бизнес в т.ч. для беспроблемного перевода средств, мгновенного, без помощи государства и банков.
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	40. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от penetrator (?), 27-Апр-25, 12:41
	то же мне новость, зато модно молодежно
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	69. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	–1 +/–
	Сообщение от Alex (??), 27-Апр-25, 15:22
	Дорогой писатель, это модно-иолоежно было 10 лет назад, а сейчас - это глобальная платежная система, используемая повсеместно. То, что вы живете в России, где государство хочет просто все отнимать и ничего не разрешает, и которая обложена всеми возможными санкциями - не меняет этого факта.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от penetrator (?), 27-Апр-25, 15:56
	> Дорогой писатель, это модно-иолоежно было 10 лет назад, а сейчас - это > глобальная платежная система, используемая повсеместно. То, что вы живете в России, > где государство хочет просто все отнимать и ничего не разрешает, и > которая обложена всеми возможными санкциями - не меняет этого факта. дорогой так себе астролог, я не живу в России, и вообще я про библиотеку, NPM, семейство macaques его продуцирующих, которые как попадали под "модно-молодежно" изначально не в силу недавного своего появления, а в силу собственно подхода, так и продолжает таким оставаться
	Ответить | Правка | Наверх | Cообщить модератору

	85. Скрыто модератором	+/–
	Сообщение от Аноним (-), 27-Апр-25, 17:18
	Да замочи ты его. Чо он тупит.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+1 +/–
	Сообщение от svvord (ok), 27-Апр-25, 16:11
	А можно пример государства, которое не хочет всё отнимать? =)
	Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

	91. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (89), 27-Апр-25, 17:44
	> глобальная платежная система Как заплатить за свет, газ, воду и налог на имущество из этой глобальной платёжной системы? Мэрия города требует местную валюту. Энергокомпания, поставщик пропана и местный водоканал тоже. При этом все четверо берут деньги из разных платёжных систем, можно перечислить напрямую со счёта в банке, можно через местную платёжную систему, можно через Visa или MasterCard. А вот криптой нельзя почему-то. И так везде, от местной пиццерии до супермаркетов. Живу в стране первого мира, если что. Фриков берущих крипту в качестве оплаты было в городе всего с дюжину пока битки не вышли в тираж, но все перестали этим страдать лет восемь тому, просто сошло на нет потихоньку, не взлетело в быту. В общем и про платёжную систему ты немного приврал, и про её глобальность тоже.
	Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

12. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+3 +/–
Сообщение от Аноним (12), 27-Апр-25, 11:37
Использовать npm для криптовалюты. Это даже не киберпанк, это фильм "Идиократия" наяву.
Ответить | Правка | Наверх | Cообщить модератору

	37. Скрыто модератором	+1 +/–
	Сообщение от Аноним (37), 27-Апр-25, 12:34
	Хайп и мода! Что ещё нужно для успешной крипты? А которые на C/C++ пишут (ну и немного на Rust иногда), без хайпа и моды, те на 100+ местах в CMC и их или не знают вовсе, или называют скамом. Представьте себе есть такие, как минимум два проекта, активно работающие не смотря на всю многолетнюю безвестность и всё хейтерство, не буду озвучивать, кто хорошо искал, тот знает.
	Ответить | Правка | Наверх | Cообщить модератору

	78. Скрыто модератором	+/–
	Сообщение от penetrator (?), 27-Апр-25, 15:57
	> Хайп и мода! Что ещё нужно для успешной крипты? А которые на > C/C++ пишут (ну и немного на Rust иногда), без хайпа и > моды, те на 100+ местах в CMC и их или не > знают вовсе, или называют скамом. Представьте себе есть такие, как минимум > два проекта, активно работающие не смотря на всю многолетнюю безвестность и > всё хейтерство, не буду озвучивать, кто хорошо искал, тот знает. озвучь чего уж там, обмен мнениями
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от еропка (?), 27-Апр-25, 17:25
	Мне тут буквально вчера рассказывали - как здорово всяких ботов в тг-канале админами делать. Удобно же! Так что ожидать от людей критического мышления смысла нет
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	93. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (94), 27-Апр-25, 17:56
	Так и правда удобно. Всем. Но ещё удобнее было бы рутовый доступ без пароля.. И желательно на белом ИП, чтобы ещё удобнее. А то чё людей напрягать всякими сложными способами попадания в вашу систему.
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (110), 27-Апр-25, 22:37
	Ну а что, боты действительно удобны для управления каналами и серверами, у меня тоже стоит. Правда, написанный мной самим. К счастью, Питон достаточно лёгкий язык, чтобы его можно было быстро выучить на нужном для писания ботов уровне
	Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

15. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+3 +/–
Сообщение от Аноним (15), 27-Апр-25, 11:42
опять жаваскрипт 🤦
Ответить | Правка | Наверх | Cообщить модератору

61. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
Сообщение от Аноним (63), 27-Апр-25, 15:00
Вопрос. Когда нибудь эта завирусованная помойка NPM, прекратит генерировать подобные новости? Держатели основного репозитария, специально не шевелятся, что бы "предотвратить", а не "устранять последствия"?
Ответить | Правка | Наверх | Cообщить модератору

	96. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (96), 27-Апр-25, 19:33
	Есть ряд способов заметно повысить удобство и безопасность этой помойки. Но это нужно сменить руководство и дать денег. Разделить все пакеты на 2 категории: веривицируемые и нет. За верификацию брать небольшую денюшку (подписка) и запретить зависимость от не верифицированных. Это заставит многих разработчиков отказаться от микрозависимостей. Потом ввести 3-ю категорию для помоек с постоянными ошибками: это заставит многих разработчиков не тащить lodash. Но поред этим потратить много денег и самим создать простые замены (вплоть до API) с верификацией. Самим вылизать их и активно тестировать. В результате за несколько лет будет наконец же факто создано что-то std библиотеки (только не C++, а JS). Со стабильным API: чтобы эти библиотеки можно было вообще включить в браузеры. Статистика позволяет понять: что нужно. И корпоративных разработчиков приучат не зависеть от микрозавтстмостей с возможными уязвимостями. После этого можно будет заняться NPM конфигом. Он настолько ущербный: нельзя понять какие пакеты тянутся. Можно сконфигурировать только один источник. И в принципе: документация - это пример как писать не надо. Но уже много лет ничего принципиального в NPM не делают...
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (63), 27-Апр-25, 20:57
	> std библиотеки (только не C++, а JS). Со стабильным API: Ах это JS. постоянно об этом забываю. Тогда тупо на**й не нужно! Ждем от гугла замену JS...
	Ответить | Правка | Наверх | Cообщить модератору

95. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
Сообщение от Аноним (95), 27-Апр-25, 18:37
звучит как: "если будете кушать, вы можете подавиться"
Ответить | Правка | Наверх | Cообщить модератору

97. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
Сообщение от Аноним (97), 27-Апр-25, 20:42
Лучше бы внедрили какое–нибудь rm -rf чтобы удалить весь яваскриптовый рак.
Ответить | Правка | Наверх | Cообщить модератору

103. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
Сообщение от Аноним (103), 27-Апр-25, 21:33
Ох уж эти репозитории в языках программирования. Эту участь ждёт и rust с его cargo, и go, и python с его pip.
Ответить | Правка | Наверх | Cообщить модератору

	105. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от Аноним (105), 27-Апр-25, 21:42
	Так а кто гарантирует, что просто скачивая откуда-то не будет того же самого? Поэтому серьезные проекты не используют сторонний код и пишут сами всё с нуля.
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Злоумышленники смогли внедрить бэкдор в NPM-пакет от разрабо..."	+/–
	Сообщение от myster (ok), 27-Апр-25, 21:53
	> Ох уж эти репозитории в языках программирования. Эту участь ждёт и rust > с его cargo, и go, и python с его pip. это норма, просто к публичным репозиториям нужно всегда относиться, как к дикому полю. Тщательно проверять скачиваемое, благо сканнеры есть, например SonarQube можно свой поднять и сканировать. Ну и само собой, у серьезных проектов должно быть локальное зеркало репозиториев, это ненормально, когда ты тянешь из интернета пакеты при сборки, они должны с твоего зеркала тянуться.
	Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

107. Скрыто модератором	–1 +/–
Сообщение от Аноним (-), 27-Апр-25, 22:12
так это не крипта вовсе а традиционные финансовые ценности мимикрирующие под крипту. у всех этих ценностей один финал.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема