Комментарии 13
Мне одному кажется странным, что подозрительно мало вредоносных пакетов нашли за такое время?
Разве что для этих script-kiddies порог вхождения пока слишком высок.
Разве что для этих script-kiddies порог вхождения пока слишком высок.
+9
От того, что вы выложите пакет в NPM он сам по себе не установится. Для это он должен делать что-то полезное в течение долго времени.
0
Разве это проблема? Легко ведь форкнуть что-то простое и добавить туда мелочь какую-то. Или вообще не добавлять.
0
Хорошо, что вообще что-то обнаруживают и удаляют. Это делает мир чуть-чуть лучше. Хотя в итоге это всего лишь иллюзия защищенности…
0
Я думаю, находят всякие супер-очевидные вещи, вроде скачивания-запуска файлов в postinstall, или бинарных блобов, на которые срабатывает антивирус. Полноценный аудит всех пакетов npm провести ведь невозможно, они непрерывно меняются.
0
Даже неполная защита полезна, потому что она уменьшает совокупное время, когда зависимости от скомпрометированных пакетов остаются в живых проектах. Гитхаб довольно быстро оповещает про обновления и уязвимости в зависимостях, а при определённых настройках даже автоматически предлагает пулл-реквесты с патчем версии пакета.
0
Я дуиаю, что там их тысячи тысяч.
+1
Особенно радует слово test в названии 2х из 4 пакетов))
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Из каталога NPM удалили четыре зловредных пакета