Из каталога NPM удалили четыре зловредных пакета

[nochkin]

Мне одному кажется странным, что подозрительно мало вредоносных пакетов нашли за такое время?
Разве что для этих script-kiddies порог вхождения пока слишком высок.

[adictive_max]

От того, что вы выложите пакет в NPM он сам по себе не установится. Для это он должен делать что-то полезное в течение долго времени.

[nochkin]

Разве это проблема? Легко ведь форкнуть что-то простое и добавить туда мелочь какую-то. Или вообще не добавлять.

[mamont80]

Вам бы маркетингом заняться, продажами. В этом мире не так-то легко кому-то что-то втюхать, даже дёшево или бесплатно и тем более клон.

[androidovshchik]

Ты втираешь мне какую-то дичь

[nochkin]

«Втюхивание» рассчитано на невнимательность людей, поэтому и работает если правильно поставить ловушки.

[Nestrik]

Хорошо, что вообще что-то обнаруживают и удаляют. Это делает мир чуть-чуть лучше. Хотя в итоге это всего лишь иллюзия защищенности…

[nochkin]

Верно. Именно это и беспокоит.

[printf]

Я думаю, находят всякие супер-очевидные вещи, вроде скачивания-запуска файлов в postinstall, или бинарных блобов, на которые срабатывает антивирус. Полноценный аудит всех пакетов npm провести ведь невозможно, они непрерывно меняются.

[Rive]

Даже неполная защита полезна, потому что она уменьшает совокупное время, когда зависимости от скомпрометированных пакетов остаются в живых проектах. Гитхаб довольно быстро оповещает про обновления и уязвимости в зависимостях, а при определённых настройках даже автоматически предлагает пулл-реквесты с патчем версии пакета.

[printf]

А, да с этим никто не спорит, конечно полезно.

Вот фича с пулл-реквестами работает в обе стороны: если угнать npm-аккаунт мейнтейнера какой-нибудь библиотеки и зарелизить минорную версию с трояном — гитхаб сам собою понаделает пулл-реквестов для обновления до этой версии.

[granvi]

Я дуиаю, что там их тысячи тысяч.

[NookieGrey]

Особенно радует слово test в названии 2х из 4 пакетов))