The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В репозитории NPM выявлено 25 вредоносных пакетов

23.02.2022 10:41

В репозитории NPM выявлено 25 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка.

  • 17 пакетов включали вредоносный код для поиска в локальной файловой системе токенов Discord и их отправки на сервер злоумышленников. В большинстве случаев вредоносные изменения камуфлировались через поставку модифицированных вариантов легитимных библиотек discord.js и colors.
    • node-colors-sync
    • color-self
    • color-self-2
    • lemaaa
    • adv-discord-utility
    • tools-for-discord
    • purple-bitch
    • purple-bitchs
    • noblox.js-addons
    • discord-selfbot-tools
    • discord.js-aployscript-v11
    • discord.js-selfbot-aployscript
    • discord.js-selfbot-aployed
    • discord.js-discord-selfbot-v4
    • colors-beta
    • vera.js
    • discord-protection
  • 5 пакетов включали код для отправки содержимого переменных окружения, которые, например, могли включать ключи доступа, токены или пароли к системам непрерывной интеграции или облачным окружениям, таким как AWS.
    • wafer-text
    • wafewafer-templater-countdown
    • wafer-template
    • wafer-darla
    • mynewpkg
  • 2 пакета (markedjs, crypto-standarts) включали троян для организации удалённого доступа к системе пользователя, позволяющий выполнить произвольный код на языке Python (Python remote code injector).
  • 1 пакет (kakakaakaaa11aa) включал бэкдор для удалённого управления системой (Connectback shell).


  1. Главная ссылка к новости (https://jfrog.com/blog/malware...)
  2. OpenNews: В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
  3. OpenNews: Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
  4. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
  5. OpenNews: В репозитории NPM выявлено 17 вредоносных пакетов
  6. OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56746-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (72) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:47, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    > В репозитории вредоносных пакетов NPM выявлено еще 25 пакетов

    Поправлено.

     
     
  • 2.3, Аноним (3), 11:02, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +13 +/
    во вредозитории NPM
     
  • 2.5, Аноним (5), 11:03, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все тоже самое можно сделать и в maven и в pip и в репозиториях cpp
    npm ничем не отличается от любого другого репозитория
     
     
  • 3.7, Аноним (7), 11:08, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > npm ничем не отличается от любого другого репозитория

    Все (любые) рипозитарии принадлежат M$?

     
     
  • 4.21, Аноним (5), 12:23, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ms хотябы репозиторий которым пользуются закрывать не стал бы, как сделал JFrog с JCenter оставив без 10 лет работающих библиотек
     
  • 4.49, Microsoft (?), 18:35, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ALL YOUR BASE ARE BELONGS TO US
     
  • 3.10, Аноним (3), 11:10, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    не правда ваша, от любой другой помойки да, ничем не отличается, а вот когда репозиторий ведет группа ментейнеров, которая следит за его наполнением и, соответственно, содержимым, то это другое дело
     
     
  • 4.17, псевдонимус (?), 12:10, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >помойку ведёт группа васянов никак не отвечающих за это, но кричащих, что они не васяны, а серьезный высеr..проект.

    Починил.

     
  • 2.16, пох. (?), 12:01, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да ну, бред какой-то. Я уверен что в нем было больше чем 25 пакетов.

     
     
  • 3.18, псевдонимус (?), 12:14, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тот, кто тащит блестяшки из паразитария либо ребенок, либо жадный де6ил( в медицинском смысле), либо примитивный жадный до лёгких денег мудак
     
     
  • 4.26, пох. (?), 12:46, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Либо нескучный йезычок требующий отдельный пакет в паразитарии для выравнивания слева, черезмерно трудозатратен для написания тривиальных вещей.

     
     
  • 5.28, Аноним (-), 12:52, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Как бы самому прогать на такой штука сам панимаиш code 8594 ... большой текст свёрнут, показать
     
     
  • 6.34, Аноним (34), 13:23, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как бы это сказать помягче ты кодишь так, как и следует ожидать от человека вро... большой текст свёрнут, показать
     
     
  • 7.46, Аноним (-), 18:28, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > как бы это сказать помягче: ты кодишь так, как и следует ожидать
    > от человека вроде тебя.

    Подгар хорош. А что, цитирование стандарта делает его логичнее? Это не мое шедевр с314жен прямо с опеннета же, просто ранее, понравилось уж очень. Очень прикольно когда операции не коммутативны, а результат операций поражает стройностью разнообразия. Не, серьезно, += 1 и ++ должно быть разным деянием? Логика :). Но может, нарков из ECMA стоило бы уволить?

     
     
  • 8.50, пох. (?), 19:21, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем Мир станет гораздо скучнее И да, это все не помешало другим норкоманам ... текст свёрнут, показать
     
     
  • 9.57, Аноним (-), 23:22, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А теперь смертельный номер они попробуют его поддерживать, и посмотрим наскольк... текст свёрнут, показать
     
     
  • 10.68, пох. (?), 12:07, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле Они его поддерживают много лет, и продолжают активно допиливать фичи ... текст свёрнут, показать
     
  • 8.62, Аноним (62), 10:48, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А где конкатенация комутативна ... текст свёрнут, показать
     
     
  • 9.63, Аноним (-), 12:26, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для начала какого оно в одном случае конкатенация, а в другом нет, хотя оператор... текст свёрнут, показать
     
  • 6.39, Аноним (39), 14:30, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > прогать на такой штука...
    > // Oops!
    > // Okay, but...
    > // What???

    язык изучить не пробовал сначала?
    документацию, там, почитать, примеры посмотреть, не?

    не пиши на нём.

     
     
  • 7.47, Аноним (-), 18:29, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > не пиши на нём.

    Я и не пишу, чур меня на таком прогать. Просто очень уж прикольный пример сжато иллюстрирующий стройность дизайна и логичнсть языка :)

     
  • 5.48, RM (ok), 18:29, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я понял, почему народ кодит на JS, поглядев на современный энтерпрайзный C htt... большой текст свёрнут, показать
     
     
  • 6.64, Аноним (-), 12:28, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Довольно длинный и техничный пример линча негров. Да еще корпорацией майкрософт под winRT или как там у них это.
     
  • 6.67, пох. (?), 20:36, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это ж не энерпрайзный, это майкрософтовский c++
    Его прочитать может любой человек, осиливший даже не страуструпа а первую попавшуюся двадцатилетней давности брошурку про сисплюсами. И главное - он его еще и применить сможет в аналогичном месте.

    А вот если ты откроешь исходники мурзилы - те что с++ - вот тут ты и поймешь всю тщетность что либо в них изменить.

     

  • 1.2, Аноним (34), 11:02, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > purple-bitch

    Люблю этот пакет. Скачивал я его правда не из NPM.

     
     
  • 2.13, Михрютка (ok), 11:47, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    зачем я это гуглил
     
     
  • 3.33, Аноним (33), 13:19, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А что этот пакет делает?
     
     
  • 4.38, Михрютка (ok), 14:16, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что этот пакет делает?

    ничего, что я не видел бы раньше. только в ужасном прикиде и с энтузиазмом литейщика, отрабатывающего третью смену подряд.

     
     
  • 5.59, Аноним (59), 23:32, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оригинальный для шалавы способ пиара.
     
  • 4.58, Аноним (39), 23:31, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > purple-bitch
    > А что этот пакет делает?

    взламывает процесс размножения

     

  • 1.4, Аноним (4), 11:02, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >содержимого переменных окружения

    Это называется телеметрия, здравствуйте. Не самая ужасная, проприетарный софт зачастую грязнее. То, что секреты висят плейнтекстом в переменных окружения, или же процессах, это косяк только этого софта.

     
     
  • 2.27, Аноним (-), 12:49, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ух ты, помойные коты вонью помоек меряются. Но у тех блохи менее кусачие!!!111
     
     
  • 3.29, Аноним (4), 12:54, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но ведь у нас телеметрия это не принято. Пока майкрософт не начал делать софт для линукса, телеметрию ещё поискать надо было (в игрушках разве что). В рамках телеметрии сегодня что только не сливают, это мелочи. Вот чужие токены искать на диске и потом их сливать, это явно не ок.
     
     
  • 4.36, Аноним (36), 13:35, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Просто ремарка Майкрософт владеет npm лично.
     
  • 4.69, пох. (?), 15:07, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У вас это школьных фантазеров?

    > Пока майкрософт не начал делать софт для линукса, телеметрию ещё поискать надо было

    в смысле не каждое школ0ло могло найти?

    Вот это например - проклятый майкрософт дотянулся?

    USER_AGENT="curl/$curl_ver $lsb $platform $cpu $uptime cloud_id/$cloud_id"

    А что ты его найти не можешь - так это потому что "у вас" было принято прятать, а если нашли - перепрятывать (это вот - нашли. И перепрятали.) А не как у треклятой M$ - пока не подтвердишь что прочитал и согласен - так и будешь в экран установщика смотреть только.

     
     
  • 5.71, Аноним (4), 15:57, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не подскажешь, где в юзер агенте какого софта можно посмотреть перечень установленного постороннего софта или серийные номера оборудования? Передавать информацию о версии это не телеметрия.
     
     
  • 6.72, пох. (?), 16:02, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    от того что хорошо сныканный от посторонних глаз слив информации с чужой системы ты двадцать раз назовешь "не телеметрия" оно сливом быть не перестанет.

    л@п4ые в своем репертуаре. "сливаем, но не все ведь! Только на пол-шишечки! Зато не microsoft!"

    тьфу.

    P.S. я даже не буду объяснять что оно еще и за тобой следит.

     
     
  • 7.76, Аноним (4), 22:45, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А кто и что там ныкает, если в фидлере всё видно? Нормальные аргументы-то будут?
     
  • 2.30, Ананоним (?), 13:09, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То, что любая прога имеет доступ в сеть, это косяк ОС.
     
     
  • 3.32, Аноним (4), 13:17, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если говорить про ОС, то unshare -cn ping 8.8.8.8 -- из минусов, чтобы поднять изолированный петлевой интерфейс необходимый для софта с телеметрией, придётся мапить рута -- unshare -rn whoami.
     

  • 1.6, Ан (??), 11:03, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда такого не было и вот опять!

    Тем временем, Deno рвёт ноду: https://deno.land/benchmarks

     
     
  • 2.9, Аноним (7), 11:10, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Никогда

    Отродясь

     
  • 2.11, Аноним (11), 11:33, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это еще не факт, нужны независимые источники
     
  • 2.20, Аноним (20), 12:16, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это даже не проплаченый бенч. Это явно накрученный бенч от самого дено.
     
     
  • 3.53, Ан (??), 21:59, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я слежу за Дено с версии 1.0 -- и вот тогда он в этом же бенчамарке просасывал, а сейчас уже нет. Сам я, естественно, тестировать это не буду -- но  если у тебя есть тесты, доказывающие, что дено врёт, велкам ту шоу.
     

  • 1.8, pashev.me (?), 11:09, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > kakakaakaaa11aa
    > назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка.

    Я столько не выпью.

     
     
  • 2.15, пох. (?), 12:01, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Повышение толерантности к алкоголю - вторая стадия алкоголизма, брат!

    Чего это ты не можешь выпить всего лишь столько чтоб заснуть носом на клавиатуре? Я бы на твоем месте срочно вызывал доктора.


     
     
  • 3.40, Аноним (40), 14:54, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А 4ая надо полагать: нужду справил, встряхнул, забыл достать?

    За крайние 2 года выпил 4 раза. Но всякий раз по литру трудный воды. И всю жизнь потреблял в таких обьемах, просто чаще. Тут зависит от того сколько алкогольдегидрогиназы печень вырабатывает.

    Выпить надо иногда, но без фанатизму.

     
  • 2.31, VladSh (?), 13:13, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > kakakaakaaa11aa

    Как мимнимум два раза сказано, что это кака.

     
     
  • 3.54, freecoder (ok), 22:01, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И ведь все равно качают!
     
     
  • 4.74, Аноня (?), 22:36, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    мухи, они такие
     
  • 2.41, Аноним (41), 15:17, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Надо создать панк-рок группу с таким названием
     

  • 1.12, Аноним (12), 11:45, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ключевые слова: nmp
    ну ладно
     
  • 1.14, Rev (?), 11:49, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В репозитории NPM выявлено 25 вредоносных пакетов

    Обычные будни JS-ера :)

     
     
  • 2.55, Анто Нимно (?), 22:05, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Едва ли.

    Типовой JS-ер накоммитил треш и ушёл развлекаться. Он не может обнаружить.

     
     
  • 3.60, Аноним (-), 00:40, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Типовой JS-ер накоммитил треш и ушёл развлекаться. Он не может обнаружить.

    Это заметит его босик после того как его внезапно поимеет топ. И вместо занятий любовью с девочкой JSер будет пару ночей плотно любить свой высер пока не отковыряет это уг. Иначе его заменят на чуть менее тупого, простая в закрытии вакансия.

     
     
  • 4.75, Аноня (?), 22:39, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Это заметит его босик после того как его внезапно поимеет топ.
    > босик
    > топ

    Ахахаха, это ты в каком таком месте работаешь, что "топ" ищет малварь в твоём сайтике?

     

  • 1.19, Аноним (20), 12:15, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как такое может быть ведь node.js безопасно работает с памятью даже безопаснее чем тот самый язык про который не принято говорить в приличном обществе.
     
     
  • 2.24, Аноним (-), 12:45, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А как это меашет грузить какой-нибудь майнер под видом офигенной плюшки?
     
     
  • 3.35, Аноним (36), 13:33, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты не заметил там в комменте был тег иронии.
     

  • 1.23, Аноним (-), 12:43, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ломающие новости: в репах которые содержит стая полоумных хайпопридурков оказывается бывает малварь. Кто бы мог подумать.
     
     
  • 2.37, Аноним (40), 14:13, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В майкрософте любят всяких таких личностей. Результат не заставил себя долго ждать. Лично я сожалею, так как ноду до поглощения считал вполне жизнеспособным продуктом.
     

  • 1.42, Онаним (?), 15:21, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всего?
     
  • 1.43, Аноним (43), 17:36, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    kakakaakaaa11aa
    Под какой популярный пакет мимикрирует эта дичь?
    Или тут расчёт что поставят из любопытства?
     
     
  • 2.45, Самокатофил (?), 17:46, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это способ такой "фишнуть" смузибоев. Назвать файл bitch-i'm-fabulous, и просто ждать пока они тупо не удержатся пройти мимо.
     

  • 1.44, YetAnotherOnanym (ok), 17:39, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек
    > kakakaakaaa11aa

    А можно узнать имя соответствующего "правильного" пакета?

     
     
  • 2.51, пох. (?), 19:26, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тут один уже purple bitch погуглил. Бойся своих желаний, а то вдруг не только узнаешь имя но и какого ктулху это имя призывает.

    Я вот предпочитаю не знать. А то вдруг в каком-то из нужных мне проектов ОНО.

     
     
  • 3.52, YetAnotherOnanym (ok), 20:05, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я теперь тоже погуглил. Одного не понял - в каком состоянии должен быть человек, чтобы искать это в npm?


     
     
  • 4.56, Анто Нимно (?), 22:07, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В состоянии JS программинга. )))))
     
  • 4.70, пох. (?), 15:09, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "окошком ошибся". Ой, тьфу... со времен когда код стало модно писать прямо в гитшлаке - достаточно таб перепутать. Хотел подр.. или поблевать, уж не знаю что именно - чуть мышью дернул, и ненароком закомитил.

     
     
  • 5.73, YetAnotherOnanym (ok), 20:22, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, может быть, если руки трясутся.
     

  • 1.77, Вовук (?), 12:39, 28/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Доколе??? Подскажите на какой язык легче всего переучиваться с js?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру