Wpis z mikrobloga

Skopiuj link

szmichal

09.09.2025, 03:44:50

#kryptowaluty

CzulyTomasz

09.09.2025, 04:03:40 via Android

@szmichal dorzucam jeszcze film z YT o tym.

Dotyczy praktycznie większości firmowych apek wiodacych producentów portfeli sprzętowych i hotwalletow uzywajacych JavaScript/Npm - Trezor, Ledger, Bitkey, Jade itd. (ale np. Coldcard czy Sparrow są bezpieczne).

Przy hot walletach polecam na razie w ogóle wstrzymać się z transakcjami, przy sprzętowych można używać Sparrow zamiast apki od producenta lub bardzo dokładnie sprawdzać adres na ekraniku portfela sprzętowego.

Z tego co rozumiem, to może podmieniać

CzulyTomasz - @szmichal dorzucam jeszcze film z YT o tym.

Dotyczy praktycznie większ...

OnNieMaJajek

09.09.2025, 04:09:48 via Wykop

@szmichal: bezpieczny bienadz lewaku hehe

CzulyTomasz

09.09.2025, 04:16:20 via Android

@OnNieMaJajek magiczny internetowy pieniążek jest bezpieczny, ale JavaScript to już całkiem inna bajka ( ͡º ͜ʖ͡º)

bonus

09.09.2025, 04:50:50 via Wykop

@szmichal: Generalnie ten atak potwierdza, jak gownianym ekosystem jest Nodejs i brak Std lib. Jedna z paczek która ma podatność jest metoda is-arrayish, która składa się z 3 linii kodu i sprawdza czy obiekt może być użyty jako tablica. I to ma 73mln pobrań tygodniowo xD

PopeLeon

09.09.2025, 05:07:27 via Wykop

@szmichal @CzulyTomaszw C++ też idzie napisać trojana

AdministratorDanychOsobowych

09.09.2025, 06:10:45 via Wykop

@szmichal: kwintesencja współczesnego internetu, jakiś wklejony obrazek, nie da się kliknąć linka, szukać trzeba informacji na własną rękę, w źródle z obrazka nie ma informacji o przejętych paczkach, jakiś ciulaty filmik w komentarzu gdzie w opisie też oczywiście brak źródeł. Tragedia.

szmichal

09.09.2025, 06:14:10 via Wykop

@AdministratorDanychOsobowych: https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the

pietryna123

09.09.2025, 08:43:04 via Wykop

@PopeLeon: Tak, ale przeważająca większość programów napisanych w C/Cpp jest pisana z użyciem standardowych bibliotek dostarczanych z toolchainem i niewielkiej liczby paczek które w 99% przypadków pobierane są z repozytoriów dystrybucji systemu jakiego używasz.

Raz pisałem na rekrutację fullstackową aplikację w Cpp. Proste gui które zrobi DNS resolution z adresu podanego przez użytkownika i zapisze IP/IPki w bazie SQLowej.
Potrzebne mi do tego było gcc dostarczone z systemem, QT, SQLite3

PopeLeon

09.09.2025, 09:41:16 via Wykop

@pietryna123: a te standardowe biblioteki kto dostarcza? sw Mikołaj? Czasem to zapomnianie projekty z niezałatanymi dziurami od lat

pietryna123

09.09.2025, 09:52:10 via Android

@PopeLeon standardowe biblioteki? Deweloperzy kompilatora zwykle. To jest monolit, nie, że bez błędów, ale nie ma tam wstrzykniętych takich bzdur jakie widziałem pod linkiem który OP wstawił, bo to by się nawet pewnie nie skompilowało bo od razu by wyszło.

PopeLeon

09.09.2025, 10:17:16 via Wykop

@pietryna123: pewnie dlatego przez wiele lat openssl miał heart bleed (╭☞σ ͜ʖσ)╭☞

Aktywne Wpisy

Defined

Defined +169

6 godz. i 11 min temu

No witam po banie. Dziękuję za wszystkie PDW jakie od was otrzymałem. Jestem też ucieszony, że afera nie ucichła. Właściwie to przez te kilka dni można było się poczuć jak na starym dobrym wykopie. Oczywiście zgadzam się z tą inicjatywą na "s" kmwtw i #pdk. Teraz przejdźmy do konkretów, bo widzę odpowiedź administracji. Mogliście po prostu napisać to wcześniej zamiast banować, ale o tym poźniej.