Deutschsprachige Community zum Austausch über Freie Software
Postet hier gerne News, Artikel, Empfehlungen und Fragen mit Bezug zu FOSS - Open Source - Freier Software…
Dies ist eine Lemmy-Community (Was ist Lemmy?) Wie Ihr auch von anderen Fediverse-Accounts aus teilnehmen könnt, ist auch hier beschrieben.
Bildquelle Icon: Colin Viebrock, CC BY 2.5 via Wikimedia Commons
#fedi22 #FOSS #OpenSource
Nachfolge von @foss_de@feddit.de
Die Problematik mit NPM ist nun schon bald eine Dekade lang bekannt.
https://www.davidhaney.io/npm-left-pad-have-we-forgotten-how-to-program/
Dass da nicht viel häufiger viel größere Katastrophen geschehen ist das, worüber man schreiben sollte. Nicht, dass wieder mal ein Paket kompromittiert wurde.
Ich freue mich ja immer über jeden Konzern, der Profit mit Open Source macht, ohne etwas zurückzugeben, und dann von so was mit Anlauf in den Pöter penetriert wird.
Gerade wegen Paketen, für die man normaler Weise noch nicht mal ’ne Funktion schreiben würde.
So Pakete die eine Funktion bereitstellen, die man in einer if-Abfrage benutzen kann, um (n % 2) === 1 nicht selbst schreiben zu müssen, und dafür 390000 Downloads pro Woche haben.
Wobei mir außerdem auffällt: Von NPM und PyPI kennt man dieses Problem, vermutlich ist auch Go anfällig (weil externe Pakete dort grundsätzlich per GitHub oder so reinkommen). In anderen Ökosystemen (ich nutze derzeit wieder viel Common Lisp, aber bei Rust ist es mir auch noch nie begegnet) scheint es entweder keine Malware zu geben oder die Abwehrmechanismen sind besser.
Seit wann kann man tarnkappe.info nurnoch ohne Adblocker besuchen?
Jedenfalls, es handelt sich wohl um ein Stück Code, was Crypto Bezahlvorgänge abfangen soll um die Ziel Adresse mit einer anderen auszutauschen die dem Angreifer gehört und der eigentlichen Zieladresse am nächsten kommt damit es nicht auffällt (nach Levenshtein Entfernung), siehe hier.
Hier die Liste mit den betroffenen Paketen, dürfte wohl eine ganze Menge Builds betreffen: