0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.</p>
1
<p>Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.</p>
2
<p><strong>Что случилось?</strong>В NPM-пакете - node-ipc - появился вредоносный код, который запускается только на IP-адресах России и Беларуси. Изменения в коде<a>разместил</a>сам автор проекта. Уязвимость (<a>CVE-2022-23812</a>) оценивается специалистами из <a>Nist</a>на 9.8 из 10 баллов по шкале CVSS.</p>
2
<p><strong>Что случилось?</strong>В NPM-пакете - node-ipc - появился вредоносный код, который запускается только на IP-адресах России и Беларуси. Изменения в коде<a>разместил</a>сам автор проекта. Уязвимость (<a>CVE-2022-23812</a>) оценивается специалистами из <a>Nist</a>на 9.8 из 10 баллов по шкале CVSS.</p>
3
<p><strong>И что?</strong>Пакет<strong></strong>node-ipc скачивают около миллиона раз в неделю, а ещё он используется в 354 сторонних пакетах - например, в <a>vue-cli</a>. Поэтому все проекты, которые имеют в зависимостях node-ipc, - под угрозой.</p>
3
<p><strong>И что?</strong>Пакет<strong></strong>node-ipc скачивают около миллиона раз в неделю, а ещё он используется в 354 сторонних пакетах - например, в <a>vue-cli</a>. Поэтому все проекты, которые имеют в зависимостях node-ipc, - под угрозой.</p>
4
<p><strong>Как это работает?</strong>Автор проекта<a>добавил</a>в Git-репозитории node-ipc код, который определяет страну через сервис api.ipgeolocation.io и с вероятностью 25% заменяет на символ "❤️" содержимое всех файлов с доступом на чтение.</p>
4
<p><strong>Как это работает?</strong>Автор проекта<a>добавил</a>в Git-репозитории node-ipc код, который определяет страну через сервис api.ipgeolocation.io и с вероятностью 25% заменяет на символ "❤️" содержимое всех файлов с доступом на чтение.</p>
5
<p>Этот код обнаружили в версиях пакета 10.1.1 и 10.1.2, а позже в версиях 11.0.0 и 11.1.0<a>нашли</a>внешнюю зависимость<a>peacenotwar</a>от того же<a>автора</a>: код выдаёт сообщение с предложением присоединиться к протесту.</p>
5
<p>Этот код обнаружили в версиях пакета 10.1.1 и 10.1.2, а позже в версиях 11.0.0 и 11.1.0<a>нашли</a>внешнюю зависимость<a>peacenotwar</a>от того же<a>автора</a>: код выдаёт сообщение с предложением присоединиться к протесту.</p>
6
<p>Сегодня ключ для api.ipgeolocation.io отозвали, и теперь node-ipc не может получить доступ к геолокации пользователей.</p>
6
<p>Сегодня ключ для api.ipgeolocation.io отозвали, и теперь node-ipc не может получить доступ к геолокации пользователей.</p>
7
<p><strong>Что делать?</strong>Пользователям node-ipc рекомендуется откатить пакет до версии 9.2.1, а также с осторожностью использовать другие пакеты, которые выпустил автор node-ipc. Здесь -<a>список созданных им пакетов</a>.</p>
7
<p><strong>Что делать?</strong>Пользователям node-ipc рекомендуется откатить пакет до версии 9.2.1, а также с осторожностью использовать другие пакеты, которые выпустил автор node-ipc. Здесь -<a>список созданных им пакетов</a>.</p>
8
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>
8
<a><b>Бесплатный курс по Python ➞</b>Мини-курс для новичков и для опытных кодеров. 4 крутых проекта в портфолио, живое общение со спикером. Кликните и узнайте, чему можно научиться на курсе. Смотреть программу</a>