Tag: npm

NPM: zbackdoorowano pakiet mający 2 000 000 pobrań tygodniowo

26 listopada 2018, 21:47 | W biegu | 0 komentarzy

Chodzi o event-stream, a szczegóły dostępne są tutaj. Dodany, złośliwy kod stara się wykradać kryptowalutę(y) z portfeli użytkowników – prawdopodobnie żeby kod zadziałał musi być dołączony właśnie do projektu, który realizuje tego typu operacje. Jak doszło do infekcji? Poprzedni zarządzający repozytorium odpowiada z rozbrajającą szczerością: he emailed me and said…

Czytaj dalej »

Używałeś npm-a w ostatnim czasie – możesz mieć już zbackdoorowany kod!

12 lipca 2018, 18:16 | W biegu | 0 komentarzy

Właśnie wykryto backdoora w jednym z pakietów dostępnych w npm (ESLint-scope – 2 500 000 pobrań w ostatnim tygodniu). Atak odbył się najprawdopodobniej przez wykradzenie danych dostępowych dewelopera i upload złośliwego kodu. Co nas może obchodzić backdoor w jakimś „niszowym” pakiecie? Odpowiedź: zależności npm. Pakiet włącza choćby ESLint (~3 300 00…

Czytaj dalej »