Хабр Новости
9.62K subscribers
16K photos
26 videos
32.8K links
Информационная служба Хабра
Админ → @may_hem
Основной канал → @habr_com
Хабр Карьера → @habr_career
Чат → @habrcom
Download Telegram
Популярность npm-пакета '-' продолжает расти

В августе 2021 года внимание сообщества привлёк странный однобуквенный пакет '-' («минус»), у которого было более 700 000 скачиваний и 56 входящих зависимостей, то есть на тот момент 56 других пакетов зависели от «минуса».

Особую загадочность делу придавал тот факт, что пакет был по сути пустой и не содержал ничего, кроме шаблонных конструкций (название, номер версии и т. д.).

За прошедшее время популярность «минуса» значительно выросла. На 11 марта 2022 года (16:00) от него зависят уже 185 пакетов.

#статистика #npm
Деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру

Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.

Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.

В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.

#npm #кибербезопасность
Злоумышленники используют вредоносные npm-пакеты для кражи пользовательских данных

Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заставить скачать шпионское программное обеспечение вместо оригинального.

#кибербезопасность #npm