Приключения разработчика вредоносного npm-пакета

или он сам выбрал такую тактику

Слишком хитрый план для такого дурачка.

My name is Brandon Charles Miller, In 2014 i joined the adultery site ashley madison to cheat on my wife, i bought a 50$ upgrade. I am sorry for everything i have done

хаха:) месть пушистых!) ну и прально. первый начал.

read more about me https://tinyurl.com/bd9srfny

это что за код? защита от ddos? или наоборот?

<script src="/vddosw3data.js"></script>
<script>var _0x2faa=["\x70\x75\x73\x68","\x72\x65\x70\x6C\x61\x63\x65","\x6C\x65\x6E\x67\x74\x68","\x63\x6F\x6E\x73\x74\x72\x75\x63\x74\x6F\x72","","\x30","\x74\x6F\x4C\x6F\x77\x65\x72\x43\x61\x73\x65","\x35\x39\x35\x66\x33\x37\x34\x61\x34\x66\x37\x37\x39\x38\x63\x34\x31\x61\x63\x39\x37\x36\x38\x35\x39\x39\x31\x64\x33\x61\x32\x35"];function toNumbers(_0x87b8x2){var _0x87b8x3=[];_0x87b8x2[_0x2faa[1]](/(..)/g,function(_0x87b8x2){_0x87b8x3[_0x2faa[0]](parseInt(_0x87b8x2,16))});return _0x87b8x3}function toHex(){for(var _0x87b8x2=[],_0x87b8x2=1== arguments[_0x2faa[2]]&& arguments[0][_0x2faa[3]]== Array?arguments[0]:arguments,_0x87b8x3=_0x2faa[4],_0x87b8x5=0;_0x87b8x5< _0x87b8x2[_0x2faa[2]];_0x87b8x5++){_0x87b8x3+= (16> _0x87b8x2[_0x87b8x5]?_0x2faa[5]:_0x2faa[4])+ _0x87b8x2[_0x87b8x5].toString(16)};return _0x87b8x3[_0x2faa[6]]()}var b1=toNumbers(_0x2faa[7]),c1=atob("ODQ3NjA0YTU2OGYyOWQ2NDUzZmE0OWE4ZmNjM2ZmNjI="),c2=toNumbers(c1),a1=toNumbers("1eb3ba010ce142e955de6b25e1bcdb6b");document.cookie="vDDoS="+toHex(slowAES.decrypt(a1,2,b1,c2))+";  path=/";setTimeout("location.href='https://doxbin.com:443/upload/BrandonNozakiMiller';",5000);

Исправил на директлинк.

благодарю.

по этой ссылке фото его жены. угадайте, какая из двух.

https://z.zz.fo/Kh9OF.png

Азиатка.

На нее есть ссылки у него в инсте.

ТС, не порти интригу для остальных лоровцев, прояви хоть чуточку чувства юмора!)

С одной стороны, справедливо, получил по заслугам своими же методами.

С другой стороны, у него теперь появилась возможность выставить себя безвинно пострадавшим или даже «пострадавшим за правду», и я не сомневаюсь, что найдутся силы, которые раздуют именно это.

Из трёх.

good point

С третьей стороны это нагядно показывает ему, чем отличается точечная акция от кибер-терроризма.

а мне жалко его жену. она милашка и абсолютно тут ни при чем.

Как же приятно на это смотреть

ну, человек дебил.

таких дебилов много. на управленческих должностях, административных, в рабочих профессиях.

хорошо, что в данной ситуации пострадал только сам дебил.

теперь дебила пожизненно забанят во всех сообществах, надеюсь.

а ведь будь дебил начальником каким, в жизненно-важной сфере, типа медицины, — пострадали бы другие люди. а так пострадал только дебил.

хорошо, что обошлось малой кровью, в общем.

человек дебил.

и все сразу понятно, да? талантливый программер, продвинул свою разработку на такой уровень. сложился финансово и семейно. и тут вот выясняется, что он с дебил? какой-то парадокс логики у тебя.

ну да, жизнь потому и не справедлива, — в жизни вообще полно парадоксов. выживают более приспособленные. что совершенно не мешает остаться человеку дебилом и проявить себя в нужный момент.

дебилизм предполагает умственную отсталость или ты вкладываешь в это что-то другое?

нет, в этом контексте я не вкладываю в понятие дебилизма медицинский термин.

в нашем случае дебилизм явление бытовое.

Есть во вселенной порядок отменный

Полагаю, что имелось в виду выражение «малолетний дебил». На лурке есть подробнее.

вот я и решил поковырять тебя маленько. бытовым понятием можно объяснить все, что угодно, но по сути ты находишь себе объяснение, которое ничего не объясняет. это очень скучный в своем дебилизме способ жить.

Lets go Brandon! Именно как написано, а не в традиционном смысле этой фразы.

Двинутые они и есть двинутые.

Lets go Brandon!

А в чем традиционный смысл этой фразы?

В том, что Байдон лох. Дальше сам гугли.

https://ru.wikipedia.org/wiki/Let’s_Go_Brandon

ладно

Мне кажется вина не столько на этом чуваке, сколько на любителях обмазываться всяким говном пакетами/библиотеками/модулями/etc без проверки, исключительно на доверии крупным репозиториям.

исключительно на доверии крупным репозиториям.

а ты каждый раз апдейты аудируешь прежде чем накатить? Откуда уверен, что в Дебиане/Убунте/Федоре/<твоемДистре> не придет апдейт с вкусняшкой?

Spoofing, а я думаю, что это прямое доказательство, что какой бы умный ни был, правильная информационная атака может взломать мозги.

А мне кажется, упаришься ты каждую фигульку проверять с пристрастием.

На лурке есть подробнее.

Там уже пару недель ничего нет.

а мне кажется, у его жены, как у любой другой нормальной женщины, после его действий писька больше не намокнет.

вместо того, чтобы заниматься своим делом, писать код, уделять время своей семье, дебил пошёл воевать в интернетах, подставив под удар себя и свою семью.

уже писал на лоре и повторюсь ещё раз, что от войны надо бежать как от чумы. а коли взял в руки автомат, — а дебил, на секундочку, его взял, то тем самым даёт негласное согласие быть убитым.

это вам не болванчиков в ЖТА пять расстреливать сидя на крыше.

уж не знаю что вам сказать по поводу информационной атаки на мозги, я бы высказал мнение, что как зачастую это бывает, такие поступки делают со скуки, от сытой жизни. у дебила в общем-то всё было. работа, признание в обществе, семья, и тут дебил решает проявить себя таким вот образом, прокричать о себе на весь мир.

только тут война, тут люди умирают, а дебил взял в руки автомат и пошёл воевать. земля пухом.

Мне кажется вина не столько на этом чуваке, сколько на любителях обмазываться всяким говном пакетами/библиотеками/модулями/etc без проверки, исключительно на доверии крупным репозиториям.

Это из разряда «телефонные мошенники обманули бабушку, значит, бабушка сама виновата»?

Это крайне гнилая логика. Да, веб-разработчиков нельзя совсем уж приравнять к той бабушке, если они делают сайт, значит, должны осознавать, что отвечают не только за свою ИБ, но и за чужую. Но это не отменяет того, что основной виновник — вандал.

да ты не волнуйся так... живой он, живой! в интернете воевал. дыши глубже.

[ тебя, видать, тоже в голову ранило... ]

та не, просто контузило в интернет-боях на ЛОР-арене...

Думаешь, дальнейшие подробности имеют смысл? Ну угробил чел свою репутацию, что потом уже не важно.

Не он первый, не он последний.

Ой, блин, и тут они((

Имеют. Надо знать чем может подобное закончится. Тут тоже кто-то писал что закладки делал в софте, но давно уже.

Имеют. Главное чтобы масштаб возмездия был достаточно велик, чтобы максимально по сети разошелся. В другой раз будут думать, если будут появляться мысли сделать гадость.

Это какое-то смакование издевательств над убогим. Все что имело значение - уже приключилось. Репутация чела обнулилась, теперь его труды ото всюду выпилят, и ничего серьезного ему больше нигде не доверят.

Приключения разработчика вредоносного npm-пакета (комментарий)

Мне кажется, имеет место путаница между наказанием и издевательствами. Наказание уже случилось. Ему теперь даже дырку от бублика никто не доверит, пожизненно.

В США какие-то непропорционально жестокие наказания за это. В Британии вообще можно сесть пожизненно.

а мне кажется, у его жены

В итоге он выбрал жену.

С остальным согласен.

чтобы масштаб возмездия был достаточно велик, чтобы максимально по сети разошелся.

Это сильно похоже на жертвоприношение

Я лишь беспристрастно пытаюсь осветить развитие событий.

С моей точки зрения он на самом деле ничего не угробил и никакого наказания он не понес. Вся эта «травля» от рандомных анонов (и скорее всего русско-белорусских) это явление временное - через месяц забудут, доксинг везде потрут и все. Это мелочи - таких травителей у нас на каком-нибудь двоще каждый день.

Наказанием была бы реакция самих компаний, как минимум. Но именно потому что они никак не реагируют, его репозитории до сих пор живы - он по факту не понес никаких репутационных потерь.

Ему ничто не мешает на все обвинения говорить - «я не сделал ничего противозаконного, мой код просто выводи банер, а все остально это надуманное белками-истеричками». Именно это он и делает до сих пор. И на официальном уровне правда почти на его стороне (если не считать зафиксированные CVE). Кидание говном в ишью-тредах не считается пруфами.

В общем, я не вижу тут никакого смакования над издевательством - такими издевательствами весь интернет завален - я вижу тут именно прецедент ухода от ответсвенности, и фактически позволение подобных действий со стороны компаний.

Он поставил под удар доверие ко всему опенсорс сообществу. Поэтому кара должна быть таких же размеров - уход из профессии с мольбами о прощении.

Он поставил под удар доверие ко всему опенсорс сообществу. Поэтому кара должна быть таких же размеров - уход из профессии с мольбами о прощении.

У меня от пафоса аж жабо скукожилось

Наказанием была бы реакция самих компаний, как минимум. Но именно потому что они никак не реагируют, его репозитории до сих пор живы - он по факту не понес никаких репутационных потерь.

Причем тут его репозитории? Они частная собственность и к репутационным потерям не относятся. Хочешь быстрой реакции - пиши в суппорт npm чтобы его аккаунт за малварь заблочили, «потому что он девиант с неустойчивой психикой, опасный для сообщества».

Ему ничто не мешает на все обвинения говорить

Все ходы записаны, например в трекере vue. Его отмазки никого не интересуют.

Если он борзеет и публично звиздит - топи за флешмоб «давайте отрепортим гитхабу нарушение ToS». Только рыбу письма сделай, чтобы не думать.

Попробуй сформулировать какие-то конкретные достижимые цели, а то пока бразильский сериал выходит.