Linux, macOS, Windows — вредонос evm-units адаптировался под все три системы

хоть кроссплатформенный вредонос наконец-то сделали

Который, конечно, как в старом анекдоте про вирус для линукса, нужно для запуска скомпилировать. Но, к счастью, процесс в данном случае максимально упрощён.

на Linux это сценарий

на macOS загружается и исполняется файл init через osascript

на Windows в каталог временных файлов записывается PowerShell-скрипт

И хоть бы что-то на rust((

На днях была буквально новость про npm червь. Была публикация на лор? Надо пользоваться нормальными языками без менеджеров пакетов, C++ например, тогда и проблем таких не будет

Дожились, кроссплатформенные вирусы. Хотя не впервые

Вроде бы что-то было, но точно уже не вспомню - не сильно слежу хза этим
Последнее - что было из уязвимостей - вот:
Критическая уязвимость в react

Надо пользоваться нормальными языками без менеджеров пакетов, C++ например, тогда и проблем таких не будет

Это как советовать curl 'xxx' | sh вместо менеджера пакетов, хотя с таким подходом отлавливать и блокировать вредоносы будет еще сложнее.

Проблема в современном подходе к разработке, когда на десять строк кода может быть по внешней библиотеке, а кодеры жалуются на то, что vscode только предлагает поставить им сторонний софт для работы, вместо тихой установки и запуска его в фоновом режиме. Проблемы от этого растут чуть ли не в геометрической прогрессии, в лучшем случае это приведет к системе изоляции всего и вся на уровне ОС, а, скорее всего, стоит ждать регулирование распространения софта в сети на уровне государства.

Когда-то давно я читал кажется на джаваскрипт ру пост где при работе с расширениями рекомендовали в поиске по файлу вбить url/ часть url/cookie дабы проверить не угоняются ли куки/нет ли сторонних обращении. С тех пор взял за практику в любом файле искать адреса или слова имеющие отношения к кукисам.

Почему бы подобную проверку не распространить на айпи адреса/ название слов имеющих отношения к критическим веб данным? И только после проверки принимать решение.
А на первом этапе изолировать окружение внутри машины.

Хвалёные средства совместимости с Линуксом перестали работать?

Если бы только их — это не было бы проблемой.

Не только они. Они выступили рассадником заразы.

Публикации были, когда вредоносные программы в npm были новостью.

CPAN не забудь!

https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

Эта штука если проникает то пытается заразить пакеты к которым у тебя есть доступ

«Современна разработка» это вебня, в c++ такой подход не приветствуется

Это как советовать curl 'xxx' | sh вместо менеджера пакетов, хотя с таким подходом отлавливать и блокировать вредоносы будет еще сложнее.

тем временем я обычно вижу curl|sh как раз от ржавых «безопасников»

малейшая обфускация сделает такую проверку неэффективной

Штож, надеюсь нашим «манерам» тоже попало. А то у нас на посёлке летом перепады электричества такие… Электрики говорят, мол все кандеи врубают, но при таких нагрузках, кандеи должны бы и в собачьих будках по два штуки. Бытует среди народа подозрение что в близ лежащем поселке Каменоломни майнят, при чём администрация в деле, раз ничего делать толком не хотят.

А кто FreeBSD исползует?

Вот эти люди, например.

(Ну да, некоторые просто пробуют.)

Это чьи-то десктопы. Я про что-то реальное.

Десктопы – это иллюзия?

Десктопы на лоре к серьезным людям отношения не имеют.

Такое никто качать не будет в здравом уме.

npm-подобный пакетный менеджер в действии. Никогда такого не было и вот опять…

Как-будто в DEB/RPM так нельзя сделать. Пока случаев мало видимо из-за эффекта Неуловимого Джо.

Как-будто в DEB/RPM так нельзя сделать.

Можно, но это должно пройти через несколько человек прежде чем попасть в дистрибутивы (привет xz-utils), что снижает такую вероятность. Да и всё подряд в дистры не тащат.

По сравнению с C/C++ подключить библиотеку в Rust/etc на порядки проще, а это очевидно приводит к увеличению кол-ва зависимостей со всеми сопутствующими последствиями.

ни даже ФС нормальной

Нормальная ФС это NTFS?

Ну WhatsApp на фряхе крутится. Полный список не приведу, но там их вроде бы штук около 10 этих конкретных компаний

Нормальная ФС это NTFS?

Не зря всё же говорят что все бздуны - виндузятники.

Ну WhatsApp на фряхе крутится

Уже нет.

Это линуксоиды ноют, что их Windows вытеснил.

Я что-то в этой жизни пропустил? Или попал в альтернативную вселенную?

не льсти себе, ты не бздун, я впрочем тоже. А вот что ты виндузятник - это да

Видимо бабла на говнюков из Rust Evangelism Strike Force засирающих всё и вся своими сраными маркетинговыми сказочками всё-же не хватает. :) Решили немного подоить тех идиотов кто уже купился. :)

Это же просто праздник какой-то! Интересно, найдётся на ЛОРе хоть один идиот, который сейчас начнёт доказывать, что неизвестно кому принадлежащий crates.io вместе с дебильнейшей системой сборки cargo совсем-совсем не в расчёте именно на подобное и создавались. Хотя вообще, если честно, я ожидал сбрасывания масок несколько позже, когда растаманы, наконец родят хоть что-нибудь мало-мальски полезное. Либо терпежу не хватило, либо наконец дошло до хозяев этой богадельни что растаманы никогда ничего полезного не напишут. :)

не льсти себе, ты не бздун

Бгыы, надо быть на редкость тупым чтобы воспринимать это как лесть. С бзди я как раз начинал изучение юниксов - ещё в те времена когда линукс был убогим говном. Как только он обошёл RIP - перешёл на него. Появится ОС лучше линукса - перейду на неё.

В этом, собственно, и заключается ключевое отличие профессионалов от задротов: профессионалы пользуются технологиями, задроты на них надрачивают как на нездоровый фетиш.

Появится ОС лучше линукса - перейду на неё.

так она уже появилась - Windows

так она уже появилась - Windows

Для тебя да, но не все же задротят в игры и на форумах срутся, сидя у мамки на шее. Некоторым ещё и работать нужно.

Когда люди поймут что вместо упрощения добавления зависимостей надо эти зависимости минимизировать?

Когда бизнес будет оплачивать тысячи часов разработки вместо использования уже готового и оттестированого существующего решения.

Я, как разраб, тоже хочу минимизировать зависимости. Но не готов писать свои реализации guid, драйверов баз данных, orm, веб и гуи фреймворков.

готового и оттестированого существующего решения.

Это вы про cargo, в который пакеты шлют школьники а практически все пакеты в вечной бете?

Но не готов писать свои реализации

guid,

Совершенно ненужное говно с самого начала, которое, к тому же является маркетинговой брехнёй прямо начиная с названия. Оно ни разу не Global и ни разу не Unique. Да и Identifier из него примерно как в IPV6 «легко запоминаемые» адреса.

драйверов баз данных,

Если разработчик БД не написал библиотечку для твоего языка - то либо БД говно и её использовать ненужно, либо используемый тобой язык говно и его использовать не нужно.

orm, веб и гуи фреймворков.

Фреймворки не нужны. Для гуя есть тулкиты (насчёт языка - аналогично БД), для веба более чем достаточно plain JS, а если недостаточно, то совершенно точно ты делаешь что-то не так, а ORM это очередная абстракция абстракций абстракций над абстракциями от которой никакой пользы окромя вреда.

cargo cult

Культ самолётопоклонников?

нет. культ утилиты «груз».

а, да, ещё доставляет значение «crate» как «самолёт» в этом разрезе.;-)

Хорошо что я не пользуюсььни Растом, ни п.о. написанном на нём. Ну кроме TOR, ито его юзаю очень редко, тк мне удобнее tor-плагин в Хромообразном, а VPN и того удобнее.