Популярность npm-пакета '-' продолжает расти
В августе 2021 года внимание сообщества привлёк странный однобуквенный пакет '-' («минус»), у которого было более 700 000 скачиваний и 56 входящих зависимостей, то есть на тот момент 56 других пакетов зависели от «минуса».
Особую загадочность делу придавал тот факт, что пакет был по сути пустой и не содержал ничего, кроме шаблонных конструкций (название, номер версии и т. д.).
За прошедшее время популярность «минуса» значительно выросла. На 11 марта 2022 года (16:00) от него зависят уже 185 пакетов.
#статистика #npm
В августе 2021 года внимание сообщества привлёк странный однобуквенный пакет '-' («минус»), у которого было более 700 000 скачиваний и 56 входящих зависимостей, то есть на тот момент 56 других пакетов зависели от «минуса».
Особую загадочность делу придавал тот факт, что пакет был по сути пустой и не содержал ничего, кроме шаблонных конструкций (название, номер версии и т. д.).
За прошедшее время популярность «минуса» значительно выросла. На 11 марта 2022 года (16:00) от него зависят уже 185 пакетов.
#статистика #npm
Деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру
Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.
Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.
В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.
#npm #кибербезопасность
Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.
Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.
В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.
#npm #кибербезопасность
Злоумышленники используют вредоносные npm-пакеты для кражи пользовательских данных
Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заставить скачать шпионское программное обеспечение вместо оригинального.
#кибербезопасность #npm
Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заставить скачать шпионское программное обеспечение вместо оригинального.
#кибербезопасность #npm
