The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana"  +/
Сообщение от opennews (ok), 04-Дек-24, 10:22 
Выявлен факт подстановки вредоносного кода в библиотеку @solana/web3.js,  насчитывающую в репозитории NPM  400-500 тысяч загрузок в неделю. Вредоносные изменения были включены в состав выпусков web3.js 1.95.6 и 1.95.7, и сводились к интеграции кода для отправки на внешний сервер закрытых ключей. Целостность проекта восстановлена в выпуске 1.95.8. Разбор причин инцидента пока не завершён, но по предварительным данным вредоносные релизы были размещены через компрометацию учётной записи сопровождающего, используя методы социального инжиниринга и фишинга...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62339

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +12 +/
Сообщение от Жироватт (ok), 04-Дек-24, 10:22 
Никогда такого не было - и вот опять.
А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?
Ответить | Правка | Наверх | Cообщить модератору

3. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –3 +/
Сообщение от Криптокибер (?), 04-Дек-24, 10:36 
Только как получить эту вашу Солану. Как ввести, как вывести? С виндовза можно? Там будут трояны?
Ответить | Правка | Наверх | Cообщить модератору

6. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (6), 04-Дек-24, 10:41 
Какая винда? Кастомный дистриб собирай на базе LFS, спокойней будешь. Миллионы первому встречному доверять - глупо.
Ответить | Правка | Наверх | Cообщить модератору

9. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +2 +/
Сообщение от 1 (??), 04-Дек-24, 10:48 
Главное - не забывать обновляться ...
Сколько там уязвимость действовала ? Как раз чтоб ключики утекли ?
Ответить | Правка | Наверх | Cообщить модератору

23. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +6 +/
Сообщение от Аноним (23), 04-Дек-24, 11:25 
Ты забываешь что помимо тысячи глаз в опенсорсе есть тысячи рук, которые так и норовят вставить свой троян или вульн в каждую либу. А тот же lfs не даёт гарантии безопасТности.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

34. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +2 +/
Сообщение от Аноним (34), 04-Дек-24, 12:09 
Ты забываешь, что абслолютную гарантию не даёт никакое творение рук человеческих. Если и даёт гарантию, то с какой-то вероятностью <100%. Так что и без третьих рук.
Ответить | Правка | Наверх | Cообщить модератору

50. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от есть такая штука называется вероятность. (?), 04-Дек-24, 14:04 
Есть такая штука, сейчас будет сложно, называется вероятность. Так вот в закрытый коммерческий проект где все либы свои левый васян ничего внедрить не может как бы он не хотел.
Ответить | Правка | Наверх | Cообщить модератору

53. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +6 +/
Сообщение от 1 (??), 04-Дек-24, 14:17 
Зато правый Петя навтыкает туда троянов, по самое нихачу.
Ответить | Правка | Наверх | Cообщить модератору

57. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (23), 04-Дек-24, 14:51 
Петя действовал по команде и внедрил туда правильный согласованный троян. А Вася получил от менеджера линейкой по рукам и имел неприятный разговор с господином мейджером за бутылочкой виски только попытавшись подумать внедрить свою поделку.
Ответить | Правка | Наверх | Cообщить модератору

136. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Fear of the dark (?), 05-Дек-24, 03:32 
Ха-хаха

Правильная дырка внедренная производителем как правило глупа и заинтересованными личностями находится быстро. Так что правильный троян от Пети пашущего на галере в итоге будет доступен всем.

А вот неявные дырки скорее всего сложнее, именно потому что они не явные даже для разрабов с галеры. И их эксплуатация доступно только элите.

Вот мастдай состоить весь из дырок от производителя. Ссогласованных с ЦРУ и НСА

Ответить | Правка | Наверх | Cообщить модератору

137. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Bottle (?), 05-Дек-24, 04:59 
Не только согласованных (в виде телеметрии и прочего шпионажа), но и случайных, т.к. в винде всё ещё находится код двадцатилетней давности, компилятор они свой меняет, естественно, он может что-то сломать под капотом, меняя undefined behaviour.
Ответить | Правка | Наверх | Cообщить модератору

61. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (-), 04-Дек-24, 15:00 
Для этого ему придется войти в сговор с командой, тк это не попенсорс где васян может делать PR раз в сто лет.
Но! Даже если будет заговор на уровне команды, то паспортные данные и адреса всех этих деятелей известны.
В случае чего фирма с радостью передаст их полиции, которые их могут даже в тюрячку посадить.
Ну или коллеги просто сходят в гости и набьют физиономии)

А вот в опенсорсах считается нормой, когда критическая инфраструктура пишется непонятными анонами без роду и племени.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

138. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от ИмяХ (ok), 05-Дек-24, 08:31 
>>Как ввести, как вывести

Никак. Это не настоящие деньги, а всего лишь циферки на компьютере. Единственный способ - найти такого же лоха, который купит у тебя эти циферки за настоящие деньги.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

143. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Зануда (?), 08-Дек-24, 23:00 
Но ведь "настоящие деньги" это тоже либо бумажки и кусочки металла, не имеющие ценности сами по себе, либо циферки на компьютере банка.
Ответить | Правка | Наверх | Cообщить модератору

7. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +8 +/
Сообщение от Аноним (7), 04-Дек-24, 10:42 
Ты не понял, "качай мне все зависимости" это современно плюс js безопасно работает с памятью!
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +6 +/
Сообщение от Ананимус (?), 04-Дек-24, 11:19 
Причем здесь зависимости зависимостей? Это официальный клиент. Примерно как если бы дыра появились в libpq.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

25. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (23), 04-Дек-24, 11:27 
Официальный клиент может быть и зависимостью и зависимостью зависимости.
Ответить | Правка | Наверх | Cообщить модератору

65. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Ананимус (?), 04-Дек-24, 15:29 
> Официальный клиент может быть и зависимостью и зависимостью зависимости.

Автор вспомнил про leftpad, который буквально был модулем на одну функцию, что сломало куче людей пакеты. Здесь же речь идет не о supply chain attack на какой-то мелкий модуль в цепочке зависимостей, а про компроментацию окружения разработчика проекта и вставку бекдора. Что может случиться буквально с кем угодно, как показала история с xz. Поэтому все и рофлят с пердежа про leftpad, потому что в данном случае он ваще не в тему.

А то что клиент криптобиржи может быть чейто зависимостью это очень странный заход. Предлагается в каждом проекте писать весь API заново? Это шиза.

Ответить | Правка | Наверх | Cообщить модератору

69. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (23), 04-Дек-24, 16:50 
Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.
Ответить | Правка | Наверх | Cообщить модератору

96. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Ананимус (?), 04-Дек-24, 18:48 
> Да в критических задачах и в критических инфраструктурах все пишется заново. Представь
> себе.

Начинается... В Сбербанке (достаточно критичная финансовая организация?) никто не пишет свой libpq чтобы к постгресу подключиться. Все просто берут libpq из репозиториев. Потому что наркоманов, пишущих все самостоятельно, можно встретить только на опеннете, потому что они делают это в своих влажных фаннтазиях. Все остальные используют какую-нибудь монгу из репов Убунты и просят ещё.

Ответить | Правка | Наверх | Cообщить модератору

125. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Анонимemail (125), 04-Дек-24, 21:48 
В Сбербанке ты не можешь просто так использовать зависимость. Только если её уже одобрили и добавили в внутренний репозиторий.
Ответить | Правка | Наверх | Cообщить модератору

128. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +3 +/
Сообщение от Ананимус (?), 04-Дек-24, 22:19 
> В Сбербанке ты не можешь просто так использовать зависимость. Только если её
> уже одобрили и добавили в внутренний репозиторий.

И? Это не значит что её сами руками написали, это значит что её проаутировали в меру сил и возможностей. И это ваще никак не противоречит логике работы NPM -- у тебя стоит корпоративное зеркало, через который идет весь CI/CD. Если на зеркале нет проаутированной версии -- у тебя тупо софт не собирается. Победа. Но опеннетчики про это не знают и продолжают влажно фантазировать как в Больших и Сильных корпорациях накачанные программисты переписывают весь мир по сотне раз за год.

Ответить | Правка | Наверх | Cообщить модератору

117. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (-), 04-Дек-24, 20:16 
> Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.

И какие гарантии что сотрудники там - все белые и пушистые, никогда не лажаются, и вообще? А, никаких?! И чем тогда это лучше предыдущей схемы?...

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

43. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (-), 04-Дек-24, 13:27 
И люди проглядевшие бекдор в ХЗ либе или Bvp47 запрещают жабаскриптерам ковыряться в носу?
Чем этот лефтпад отличается от 100500 библиотек и зависимостей, которые обновляются в любом дистрибутиве?
Воистину "в чужом глазу песчинку разглядывают, когда в своем уже ЖинТяны с бревнами"
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

55. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (55), 04-Дек-24, 14:39 
>А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?

А ты до сих пор сидиш на зависимостях, к которым уже эксплоиты успеил написать?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +9 +/
Сообщение от Аноним (2), 04-Дек-24, 10:23 
> JavaScript
> web3
> криптовалюты
> вредоносный код

Бинго?

Ответить | Правка | Наверх | Cообщить модератору

20. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +4 +/
Сообщение от Аноним (20), 04-Дек-24, 11:22 
за определенную сумму (например $10 000) я тоже могу сказать что мою учетку скомпроментировали....
Ответить | Правка | Наверх | Cообщить модератору

122. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +4 +/
Сообщение от Ivan_83 (ok), 04-Дек-24, 20:55 
Фу позорник за такой мизер так рисковать репутацией и может даже свободой.
Ответить | Правка | Наверх | Cообщить модератору

45. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +2 +/
Сообщение от Аноним (45), 04-Дек-24, 13:38 
Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

47. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (-), 04-Дек-24, 13:42 
> Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?

Конечно другое!
Как можно сравнивать дырень которую внедрили почти во все дистрибутивы с какой-то крипрой.
Крипта это опаснее и важнее!

Зато качали на с какого-то NPM, а тарболчики с самого репизитория!
Надежнее же не бывает!


Ответить | Правка | Наверх | Cообщить модератору

67. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (67), 04-Дек-24, 16:21 
XZ тоже был тарболчиком с самого репизитория.
Ответить | Правка | Наверх | Cообщить модератору

51. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от есть такая штука называется вероятность. (?), 04-Дек-24, 14:06 
По статистике да.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

4. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (4), 04-Дек-24, 10:39 
Я конечно не эксперт с необходимой экспертизой, но ...

почему (сторонний) клиент напрямую работает с приватными (секретными) ключами?

Ответить | Правка | Наверх | Cообщить модератору

27. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (23), 04-Дек-24, 11:28 
Как ты предлагаешь это делать накривую?
Ответить | Правка | Наверх | Cообщить модератору

35. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (34), 04-Дек-24, 12:12 
Через разделение процессов, клиент - сервер?
Ответить | Правка | Наверх | Cообщить модератору

38. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (23), 04-Дек-24, 12:21 
Это ещё на каждого бота свой промежуточный сервер? Это сложно и противоречит принципу децентрализованности.
Ответить | Правка | Наверх | Cообщить модератору

42. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (34), 04-Дек-24, 13:08 
Локальное разделение, на компе у пользователя кошелька или чего там ещё. Код на JS говорит другому процессу, вот это подпиши, а не сам берёт ключ и подписывает.43
Ответить | Правка | Наверх | Cообщить модератору

59. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +2 +/
Сообщение от Аноним (23), 04-Дек-24, 14:52 
Оверинжиниринг и сложно.
Ответить | Правка | Наверх | Cообщить модератору

62. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +2 +/
Сообщение от Анониссимус (?), 04-Дек-24, 15:05 
Ещё и бесполезно. От этой уязвимости может и спасёт, но монетки всё равно не будут в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

135. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от нах. (?), 05-Дек-24, 02:14 
ну просто автору троянца придется через нескучный api "вот это подписать". (вот это - "а переведи-ка все денежки, нажитые бесчестным трудом, воооон на тот неведомый кофелефек")

Наверное задумка в том что он расплачется и убежит.

Ответить | Правка | Наверх | Cообщить модератору

60. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (60), 04-Дек-24, 14:59 
Ты сейчас описал концепцию холодных ключей, который есть рекомендованный способ для хранения значимых сумм в крипте.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

134. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (60), 05-Дек-24, 01:15 
Холодных кошельков, а не ключей.
Ответить | Правка | Наверх | Cообщить модератору

106. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (106), 04-Дек-24, 19:40 
Обычно это осуществляется через провайдера безопасности. В виде запроса - клиент ввел пару логин-пароль - это верно? Здесь - зашифруй данные ключом клиента. Секрет хранится инфраструктурой безопасности и только она имеет прямой доступ к секрету.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (55), 04-Дек-24, 14:46 
Если вам действительно нужен ключ, то вам нужен и публичный и приватный. Вы же не только шифровать, но и расшифровывать собираетесь?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

74. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (4), 04-Дек-24, 17:26 
Нужен транзакционный (сессонный) ключ - приватный и публичный. Запросили транзакционный приватный ключ, сгенерировали публичный. Подписали транзакцию, уничтожили приватный ключ. Если и украли приватный ключ транзакции, потеряли только транзакцию.
Ответить | Правка | Наверх | Cообщить модератору

121. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (106), 04-Дек-24, 20:50 
Чтобы расшифровать сообщение от другого нужен Его публичный ключ, который выдается визави.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

5. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от ryoken (ok), 04-Дек-24, 10:39 
>>работающих с зарытыми ключами

уху

Ответить | Правка | Наверх | Cообщить модератору

15. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от RM (ok), 04-Дек-24, 11:13 
Так отсылка к Буратыно же, классика...
Ответить | Правка | Наверх | Cообщить модератору

11. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +4 +/
Сообщение от Аноним (7), 04-Дек-24, 10:56 
Если вы загружаеты свой приватный ключ на вебприложуху, то тут проблема не в жабаскрипте.
Ответить | Правка | Наверх | Cообщить модератору

13. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Соль земли (?), 04-Дек-24, 11:09 
Кому-то не пофиг на криптовалюты? Которые могут обвалиться в любое мгновение.
Ответить | Правка | Наверх | Cообщить модератору

14. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (4), 04-Дек-24, 11:13 
Так как бежать больше некуда, бегут в крипту. Обвал крипты означает пи...дец деньгизму.
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +9 +/
Сообщение от Наибулина (?), 04-Дек-24, 11:30 
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Аноним (33), 04-Дек-24, 12:08 
Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором  +3 +/
Сообщение от Аноним (34), 04-Дек-24, 13:27 
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

41. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (41), 04-Дек-24, 12:53 
Храни сбережения в рублях! (А доллар не в коем случае!)
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

68. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от nume (ok), 04-Дек-24, 16:34 
Ну-ну, сколько уже говорят что биткоин всё? А он всё растёт и растёт (и не только он).
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

72. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (72), 04-Дек-24, 17:04 
С битком главное дождаться, когда он "ну вот теперь он точно фсе, ха ха, а мы предупреждали", и в этот момент покупать.
Ответить | Правка | Наверх | Cообщить модератору

21. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (-), 04-Дек-24, 11:24 
Дурики какие-то... зачем им какая-то крипта?
Вот лучше бы сломали kernel.org и сопутствующую инфру как раньше.

> распространялись через NPM во вторник 3 декабря c 18:20 по 23:25

Всего-то? Жалкие 11 часов?

Ответить | Правка | Наверх | Cообщить модератору

30. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (30), 04-Дек-24, 11:40 
Зачем мучиться с kernel.org, когда написал простенький скрипт для перечисления на свой кошелёк и в продакшон.
Ответить | Правка | Наверх | Cообщить модератору

52. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (52), 04-Дек-24, 14:10 
> c 18:20 по 23:25
> 11 часов

Раз десять перепроверил, пытаясь понять где я мог ошибиться в вычитании.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

54. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +3 +/
Сообщение от Аноним (33), 04-Дек-24, 14:32 
Четверичная система вычислений - это круто!

Спалился рептилоид!

Ответить | Правка | Наверх | Cообщить модератору

109. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (106), 04-Дек-24, 19:58 
Откуда 8 в четверичной системе? (0 .. 7 )
Ответить | Правка | Наверх | Cообщить модератору

73. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Ты не понял (?), 04-Дек-24, 17:15 
Это время засекалось во время полета вокруг Земли. Такое время может иметь любые значения, но результат один - 11 часов и точка!
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

26. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Бывалый Смузихлёб (ok), 04-Дек-24, 11:27 
Т.е никакой проверки заливаемого релизного кода в проекте нет ?
Ответить | Правка | Наверх | Cообщить модератору

39. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (23), 04-Дек-24, 12:22 
Мы всегда проверяем.

/me смех

Ответить | Правка | Наверх | Cообщить модератору

48. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (45), 04-Дек-24, 13:43 
Так проверял тот же, кто и релизил. Предлагаешь ему свой же бекдор отрежектить?
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

58. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (4), 04-Дек-24, 14:52 
Так отрежектил же. Но есть ньюанс.
Ответить | Правка | Наверх | Cообщить модератору

66. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (66), 04-Дек-24, 15:43 
А что за ключи отправляют? Я думал берут ~/.ssh/*, а по скриншотам там как будто... ключи от самой соланы берут? С кошельков чтоб воровать?
Ответить | Правка | Наверх | Cообщить модератору

76. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Хрю (?), 04-Дек-24, 17:34 
А будет ещё хуже. С нуля писать это не вариант, в большинстве случаев заказчик просто пошлет нафиг, а аудит 100500 зависимостей, которые являются чьими то зависимостями тоже задача невыполнимая.
Ответить | Правка | Наверх | Cообщить модератору

79. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (79), 04-Дек-24, 18:00 
1. Создаю шорт на солану.
2. Добавляю в репизиторий соланы хорошо заметную уязвимость. Заметность нужна, чтобы быстро обнаружили и не пришлось платит проценты за перенос шорта на следующие дни.
3. Жду когда находят уязвимость. Либо "нахожу" её сам и быстрее бегу писать новость на опеннете.
4. С распространением новости, котировка соланы стремительно падает вниз.
5. Закрываю шорт.
6. Еду в Вегас транжирить полученный куш.
7. Нажираюсь в хлам.
8. Женюсь на какой-то блондинке.
9. Просыпаюсь утром с больной головой.
10. Обнаруживаю блондинку, пишущую заявление о разводе.
11. Хорошо, что весь куш я уже промотал!
Ответить | Правка | Наверх | Cообщить модератору

84. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (4), 04-Дек-24, 18:23 
> Создаю шорт на солану.

Зашел на первый попавшийся сайт с курсом соланы. 1 декабря упала с ~235 до ~225 и вернулась обратно 3 декабря, когда официально обнаружили. Как-то в другую сторону всё работает.

Ответить | Правка | Наверх | Cообщить модератору

89. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (89), 04-Дек-24, 18:26 
Вообще незначительно упала,в пределах волатильности
Это не та новость которая вызывает массовый сброс монет
Это новость для гиков с оупеннет и прочих похорониксов
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

94. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Аноним (94), 04-Дек-24, 18:36 
Речь не про последнюю уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

142. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (142), 05-Дек-24, 16:56 
Вот если бы ты смог широко распространить по миру "новость из достоверных источников!", что Кучерявый Сэм смог из тюрьмы дотянуться до своего "тайного грандиозного кошелька" с "мильярдами соляны" и сейчас вот-вот всё где-то (интересно, где?) распродаст... И если бы это еще совпало с мощной коррекцией битка (падения этак до 80к) - то да, может и прокатило бы. Если бы ты еще и плечо не меньше 25-го выставил. Но сейчас, или, только из-за этого из новости...
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

86. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (-), 04-Дек-24, 18:25 
> JavaScript SDK для работы с криптовалютой Solana из приложений,
> запускаемых в браузере или использующих такие платформы, как Node.js и React Native.

Казалось бы, что в этой схеме с такими программистами может пойти не так, если там еще и бабки крутиться будут...

Ответить | Правка | Наверх | Cообщить модератору

100. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (100), 04-Дек-24, 19:04 
Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля. Начиная от выпечки чипов. И литографического оборудования. И вообще с собственных вооружённых сил для защиты от тех, кто считает, что бекдоры должны быть во всём, а к тем, кто не согласен, отправляет убедительных людей с металлическим убеждателем. Да, это дорого. Безопасность в принципе не может быть дешёвой: обезапашивают то, что стоит дорого, и если преодоление безопасности хоть вполовину будет дешевле стоимости защищаемого по невозвратным издержкам, то это уже 100% рентабельность на языке экономики. Ежели же все издержки возвратные, то стоимость того, что берут бесплатно, вообще роли не играет, выгодно преодолевать безопасность при любом раскладе.
Ответить | Правка | Наверх | Cообщить модератору

103. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Ананимус (?), 04-Дек-24, 19:10 
> Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля.

Правда никто этого никогда не делает, потому что деньги считать умеют. Но когда это останавливало влажных опеннетчиков?

Ответить | Правка | Наверх | Cообщить модератору

104. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +2 +/
Сообщение от Аноним (89), 04-Дек-24, 19:27 
> Правда никто этого никогда не делает

Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук, ВК, Яндекс, Амазон... тысячи их!

Ответить | Правка | Наверх | Cообщить модератору

107. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –4 +/
Сообщение от Аноним (94), 04-Дек-24, 19:40 
Посмешил. Все перечислинные начинали что-то делать с нуля только уже став монополистами и лопаясь от капитализации. И то, только потому, что когда в компании тьма продакт менеджеров, им полюбому нужно что-то придумать, чтобы показать руководству. А то их уволят.
Ответить | Правка | Наверх | Cообщить модератору

111. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –1 +/
Сообщение от Ананимус (?), 04-Дек-24, 20:00 
Ага, ваще все. Ни одного стороннего компонента не осталось, даже линукс свой написали, черти. Ох лол.
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

132. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (132), 04-Дек-24, 23:20 
Линукс у них свой, если все ключевые сотрудники под козырёк берут, когда надо. Что не своё - то можно с потрохами и обслуживающим персоналом купить, и станет своим.
Ответить | Правка | Наверх | Cообщить модератору

139. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Ананимус (?), 05-Дек-24, 10:18 
Напомни, как давно яндекс купил openssl?
Ответить | Правка | Наверх | Cообщить модератору

112. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –2 +/
Сообщение от Аноним (-), 04-Дек-24, 20:04 
> Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук,
> ВК, Яндекс, Амазон... тысячи их!

И кто из них написал с ноля ну хотя-бы операционку для своих серверов?

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

120. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от anonymous (??), 04-Дек-24, 20:50 
дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев - там в основе идея что качественным может быть только то что сам полностью контролируешь. Ну и еще что нельзя врать самому себе, разбираться в чём недостаток и его устранять. А у нас под одобрямсы все шильдикостроение и "ахаха из стиралок выковыриваем ахахах да да из стиралок ой ржака" и в итоге 0 промышленности газ в обмен на бусы и все довольны.
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

131. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  –2 +/
Сообщение от нах. (?), 04-Дек-24, 23:12 
> дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев -

В смысле, оно там кончилось раньше чем началась северная корея.

> сам полностью контролируешь. Ну и еще что нельзя врать самому себе,
> разбираться в чём недостаток и его устранять. А у нас под

тоетин датчик заслонки гнусно хихикает над культурными легендами.

> из стиралок ой ржака" и в итоге 0 промышленности газ в
> обмен на бусы и все довольны.

Если бы газ и дальше был в обмен на бусы, а не вяличие - я бы тоже был совершенно доволен. А без знания что такое "кароси" я и дальше бы обошелся.

Ответить | Правка | Наверх | Cообщить модератору

108. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от RANDOMIZE USR 15616 (?), 04-Дек-24, 19:42 
Вот так мифы о "независимости" и "неподконтрольности" криптовалют разбиваются о вопрос: "А кто, собственно, правит их исходники?"
Ответить | Правка | Наверх | Cообщить модератору

118. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от Аноним (-), 04-Дек-24, 20:39 
> Solana занимает пятое место по размеру капитализации
> которые распространялись через NPM во вторник 3 декабря c 18:20 по 23:25
> версий web3.js 1.95.6 и 1.95.7

Меня одного это смущает что-ли? 5ая по размеру _виртуальная экономика_ за 5 часов пару раз апнулась..

Ответить | Правка | Наверх | Cообщить модератору

119. Скрыто модератором  +/
Сообщение от Аноним (-), 04-Дек-24, 20:40 
Ответить | Правка | Наверх | Cообщить модератору

126. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +1 +/
Сообщение от Аноним (126), 04-Дек-24, 22:08 
>>  Также рекомендуется ... изучить содержимое каталога node_modules

Повеселило) Это веселит даже если видел лишь node_modules от TODO app например на ангуляре.

Ответить | Правка | Наверх | Cообщить модератору

140. "Атакующие внедрили вредоносный код в web3.js, официальный Ja..."  +/
Сообщение от OpenEcho (?), 05-Дек-24, 11:51 
> используя методы социального инжиниринга и фишинга.

Митник бессмертен !

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру