Dotyczy praktycznie większości firmowych apek wiodacych producentów portfeli sprzętowych i hotwalletow uzywajacych JavaScript/Npm - Trezor, Ledger, Bitkey, Jade itd. (ale np. Coldcard czy Sparrow są bezpieczne).
Przy hot walletach polecam na razie w ogóle wstrzymać się z transakcjami, przy sprzętowych można używać Sparrow zamiast apki od producenta lub bardzo dokładnie sprawdzać adres na ekraniku portfela sprzętowego.
@szmichal: Generalnie ten atak potwierdza, jak gownianym ekosystem jest Nodejs i brak Std lib. Jedna z paczek która ma podatność jest metoda is-arrayish, która składa się z 3 linii kodu i sprawdza czy obiekt może być użyty jako tablica. I to ma 73mln pobrań tygodniowo xD
@szmichal: kwintesencja współczesnego internetu, jakiś wklejony obrazek, nie da się kliknąć linka, szukać trzeba informacji na własną rękę, w źródle z obrazka nie ma informacji o przejętych paczkach, jakiś ciulaty filmik w komentarzu gdzie w opisie też oczywiście brak źródeł. Tragedia.
@PopeLeon: Tak, ale przeważająca większość programów napisanych w C/Cpp jest pisana z użyciem standardowych bibliotek dostarczanych z toolchainem i niewielkiej liczby paczek które w 99% przypadków pobierane są z repozytoriów dystrybucji systemu jakiego używasz.
Raz pisałem na rekrutację fullstackową aplikację w Cpp. Proste gui które zrobi DNS resolution z adresu podanego przez użytkownika i zapisze IP/IPki w bazie SQLowej. Potrzebne mi do tego było gcc dostarczone z systemem, QT, SQLite3
@PopeLeon standardowe biblioteki? Deweloperzy kompilatora zwykle. To jest monolit, nie, że bez błędów, ale nie ma tam wstrzykniętych takich bzdur jakie widziałem pod linkiem który OP wstawił, bo to by się nawet pewnie nie skompilowało bo od razu by wyszło.
Pierwszy raz w życiu tankowałem ON po 9.06zł. Dziękuję panu premierowi, ministrom i wszystkim, którzy mają na to wpływ. Brat jest w delegacji u pepiczków i tankuje ponad złotówkę taniej. Uśmiecham się i robię swoje.
źródło: 1000059018
PobierzDotyczy praktycznie większości firmowych apek wiodacych producentów portfeli sprzętowych i hotwalletow uzywajacych JavaScript/Npm - Trezor, Ledger, Bitkey, Jade itd. (ale np. Coldcard czy Sparrow są bezpieczne).
Przy hot walletach polecam na razie w ogóle wstrzymać się z transakcjami, przy sprzętowych można używać Sparrow zamiast apki od producenta lub bardzo dokładnie sprawdzać adres na ekraniku portfela sprzętowego.
Z tego co rozumiem, to może podmieniać
Raz pisałem na rekrutację fullstackową aplikację w Cpp. Proste gui które zrobi DNS resolution z adresu podanego przez użytkownika i zapisze IP/IPki w bazie SQLowej.
Potrzebne mi do tego było gcc dostarczone z systemem, QT, SQLite3