Złośliwy kod w pakietach npm z 2 miliardami pobrań tygodniowo

Świat open source właśnie stanął wobec największego w historii ataku na łańcuch dostaw oprogramowania. Hakerzy zdołali wstrzyknąć złośliwy kod do pakietów JavaScript pobieranych ponad 2 miliardy razy tygodniowo z repozytorium npm. Skalą incydent przewyższa wszystko, co do tej pory obserwowano w tej

pixel-nerd z dodany: 09.09.2025, 10:09:13

96
Odpowiedz

Komentarze (96)

najlepsze

theOstry

09.09.2025, 10:27:56 via Wykop

To jaki tam jest syf z tym Reactem i paczkami to jest niepojete. Najlepsze jak przy kazdym buildzie masz 230432904 packages begging for donation xD

QBA__

09.09.2025, 14:37:24 via Wykop

@theOstry: taki jest żywot życia z javascriptem

enten

09.09.2025, 17:47:25 via Wykop

To jaki tam jest syf z tym Reactem i paczkami to jest niepojete. Najlepsze jak przy kazdym buildzie masz 230432904 packages begging for donation xD

@theOstry: Ale mordo, jest nowocześnie... I fajna składnia, mordo, szybciej sie pisze, mówię Ci...
Co Ty jakie document.getElementsByClassName(), mordo mówie Ci sobie elegancko tworzysz komponencik, dodajesz handlery i się wszycho samo robi. A jak nie robi się to jest taka nowa zajebista biblioteka

enten - >To jaki tam jest syf z tym Reactem i paczkami to jest niepojete. Najlepsze j... — **źródło:** istockphoto-505910916-1024x1024
Pobierz

Hermeutyk

09.09.2025, 16:46:31 via Wykop

Nie świat "open source" tylko cały świat. Otwarte biblioteki wykorzystywane są w każdym oprogramowaniu. Chyba że ktoś uważa że programiści za każdym razem lubią wymyślać koło na nowo.

paczajki

10.09.2025, 08:05:41 via Wykop

@Hermeutyk: xDDDDDDDDDDD
w zdrowej, bezpiecznej firmie weryfikuja wersje pakietow do uzytku i potrafia miec nawet swoje serwery z dopuszczonym do uzytku softem lub biala liste. Malo kto zrozumie, bo wiekszosc robi w slabych korpo montowniach i januszeksach

Hermeutyk

10.09.2025, 09:30:11 via Wykop

@paczajki: Wymień takie firmy.

IksdeHeheh

09.09.2025, 17:42:42 via Wykop

Chodzi o bibliotekę sprawdzającą czy liczba jest nieparzysta? Czy o tą sprawdzającą czy jest parzysta ( ͡° ͜ʖ ͡°)

Simple-Man

09.09.2025, 17:46:16 via Android

@IksdeHeheh dlatego do takich rzeczy lepiej używać is-odd-ai ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

r1fez

09.09.2025, 19:05:03 via Wykop

@IksdeHeheh: Hehehe, no akurat ja mocno w JS nie siedzę ale jak juz usiadłem do napisania toola w fabryce to oczywiscie npm. No i instaluje sobie takiego jesta. A tam pod spodem pierdyliard zależności. W tym takie, ze kod ograniczał sie do ledwie kilku (sic!) linijek kodu. Szczerze mnie to zszokowało, słyszałem ze do npma mnóstwo małych libek ludzie napisali, ale w życiu bym sie nie spodziewał, ze ale tak

daniel-doe

09.09.2025, 17:31:30 via Wykop

Zainfekowane pakiety były dostępne 2h, atakujący atakowali tylko crypto (podmieniali adres przelewu na wlasny) i udało im się ukraść ETH warte $50... proszę ... (ʘ‿ʘ)

tomq6

09.09.2025, 18:41:24 via Wykop

@daniel-doe: no to dobrze, że ktoś trzyma rękę na pulsie :)

carecki

10.09.2025, 10:15:50 via Wykop

@Krolik: Są osoby, które trochę mniej ogarniają środowiska nodejs'owe i nie comitują pliku package-lock.json. W tym momencie dowolny 'npm install' (być może nawet ten na cicd, bo osoby nieogarnięte nie znają też 'npm ci') ściągnie najnowsze wersje paczek (spełniających semver). W takim przypadku zwykły automatyczny build użyje zainfekowanej paczki.

Edisni

09.09.2025, 16:31:31 via Wykop

Znowu ktoś "uczynny" zaoferował pomoc w projekcie?

Edisni

09.09.2025, 17:02:09 via Wykop

"uczynny" zaoferował zabezpieczenia 2FA, a JJ nie zauważył phishingu... Low Level to wyjaśnia

Edisni - "uczynny" zaoferował zabezpieczenia 2FA, a JJ nie zauważył phishingu... Low ...

Zylet

09.09.2025, 15:26:19 via Wykop

„Josh Junon (...) przyznał”

„Junon przyznał”

„Przepraszam wszystkich, powinnam była bardziej uważać. To nie w moim stylu; miałam stresujący tydzień. Postaram się to naprawić.”

To w końcu on czy ona?

pixel-nerd

09.09.2025, 17:29:42 via Wykop

@Zylet: Dzięki za zwrócenie uwagi, już poprawiłem. Sam nie wiem, czemu nagle zmieniłem mu płeć...

Zylet

09.09.2025, 17:42:19 via Wykop

@pixel-nerd: uff, bo już się bałem, że jakiś cudak.

BArtus

09.09.2025, 18:25:29 via Wypiek

Różnica jest taka, że jak russcy włamali się do SolarWinda i dorzucili trojana do Oriona - to dowiedzieliśmy się o tym dopiero po miesiącach, jak jakiś mała firma wreszcie zainteresowała się dziwnym ruchem w swojej sieci i zrewersowała kod aktualizacji, który od miesięcy wyprowadzał dane z Pentagonu, Białego Domu, NSA plus około setki firm z SAP500.
Atak na otwarty kod jest paradoksalnie dużo trudniejszy: nie wystarczy cwany phishing i uzyskanie dostępu do

BArtus - Różnica jest taka, że jak russcy włamali się do SolarWinda i dorzucili troja...

o__0

09.09.2025, 18:52:13 via Wykop

ten złośliwy kod to Angular

legggy

09.09.2025, 19:29:35 via Android

@o__0 3 z kijem w dupie dali minusy

kowalzmetina

09.09.2025, 15:23:10 via Android

Wincyj zależności, projekty wytrzymają ( ͡º ͜ʖ͡º)

Nick7C5

09.09.2025, 17:28:04 via Wykop

Zawsze się zastanawiałem nad taką sytuacją, w repozytoriach które są bardzo popularne - gdzie programista może wcisnąć pusha na repo z złośliwym kodem. Jaki będzie tego finał? Prawda taka, że używając dużych komponentów, nie sposób śledzić każdego commita u vendorów.

KaiserBrotchen

09.09.2025, 18:59:32 via Wykop

gdzie programista może wcisnąć pusha na repo z złośliwym kodem

@Nick7C5: tylko, że jeszcze ktoś mu musi tego merge requesta zaakceptować. Przy jakimkolwiek poważnym projekcie będzie tam zrobione review i coś takiego wyjdzie.

Nick7C5

09.09.2025, 19:05:18 via Wykop

@QBA__: Oczywiście że możesz wybrać wersję którą sobie życzysz. I podnosić ją po code-review. Jest np. Renovate, Dependabot, socket.dev. Whitelisty zależności... To dość na czasie. Dawniej zastanawiałem się co się wydarzy jak ktoś opublikuje paczkę, dobrą na tyle że zacznie jej używać szerokie grono odbiorców i cyk... wersja z nazwijmy to "dodatkami". Popularne incydenty:
1. react-native-aria (2025)
2. Goblin Stargazer (2024)
3. event-stream (2018)
4. UAParser.js (2021)
5. coa &

Złośliwy kod w pakietach npm z 2 miliardami pobrań tygodniowo

Hity

Międzynarodowy dzień awarii sprężarki

Bezdzietne kobiety powinny później przechodzić na emeryturę - petycja.

Sklep nike.com nie respektuje zasad o pokazywaniu najniższej ceny z 30dni

Pijany biznesmen w Darłowie. Sędzia nie zabrała mu nawet prawa jazdy. Umorzenie

Sprawa Sebastiana M.: Rodziny ofiar wypadku nie chcą kontynuować mediacji

Powiązane tagi