层叠 - The Cascading
著名数据生成器库 Faker.js 作者表示将停止免费支持使用其组件的公司。 许多软件公司在它们的产品上用了开源组件,赚了无数钞票,它们有没有责任去用它们赚来的钱回馈提供给它们可以自由使用的组件的开发者? https://t.me/hackernewslive/87173 seealso: MongoDB 与 SSPL,/736
Faker.js 删库。目前的 repo README 只有一句:
> What really happened with Aaron Swartz?
有用户称之前 npm 上发布了已经清空的 faker@6.6.6 包,但现在已经被回滚至上一个正常版本 5.5.3。
https://github.com/marak/Faker.js/
seealso: https://www.npmjs.com/package/faker
seealso: https://www.youtube.com/watch?v=d15DP5zqnYE
#npm #Opensource #Faker
EDIT 1/8: 原作者更新了视频。
> What really happened with Aaron Swartz?
有用户称之前 npm 上发布了已经清空的 faker@6.6.6 包,但现在已经被回滚至上一个正常版本 5.5.3。
https://github.com/marak/Faker.js/
seealso: https://www.npmjs.com/package/faker
#npm #Opensource #Faker
EDIT 1/8: 原作者更新了视频。
👍6🔥4
层叠 - The Cascading
Faker.js 删库。目前的 repo README 只有一句: > What really happened with Aaron Swartz? 有用户称之前 npm 上发布了已经清空的 faker@6.6.6 包,但现在已经被回滚至上一个正常版本 5.5.3。 https://github.com/marak/Faker.js/ seealso: https://www.npmjs.com/package/faker seealso: https://www.youtube.com/wat…
Marak 称自己的 GitHub 账号被停用,以及声明回滚 npm 上的包到之前版本的是 npm 官方而不是 Marak 自己。
https://twitter.com/marak/status/1479200803948830724
https://news.ycombinator.com/item?id=29837473
#Fakerjs #npm #GitHub #OpenSource
https://twitter.com/marak/status/1479200803948830724
https://news.ycombinator.com/item?id=29837473
#Fakerjs #npm #GitHub #OpenSource
Twitter
marak 🗿
NPM has reverted to a previous version of the faker.js package and Github has suspended my access to all public and private projects. I have 100s of projects. #AaronSwartz
👎24👍3
层叠 - The Cascading
Marak 称自己的 GitHub 账号被停用,以及声明回滚 npm 上的包到之前版本的是 npm 官方而不是 Marak 自己。 https://twitter.com/marak/status/1479200803948830724 https://news.ycombinator.com/item?id=29837473 #Fakerjs #npm #GitHub #OpenSource
同样由 faker.js 作者 Marak 开发的 colors.js 于早些时候发布的 1.4.1 和 1.4.44-liberty-2 版本包含一段会造成无限循环的代码 [1],而这段代码看起来是由作者故意加入的。
www.bleepingcomputer.com/~
https://news.ycombinator.com/item?id=29863672
snyk.io/~
https://news.ycombinator.com/item?id=29867525
1. github:Marak/colors.js@074a0f8e
#npm #OpenSource #colorjs
www.bleepingcomputer.com/~
https://news.ycombinator.com/item?id=29863672
snyk.io/~
https://news.ycombinator.com/item?id=29867525
1. github:Marak/colors.js@074a0f8e
#npm #OpenSource #colorjs
BleepingComputer
Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps
Users of popular open-source libraries 'colors' and 'faker' were left stunned after they saw their applications, using these libraries, printing gibberish data and breaking. Some surmised if the NPM libraries had been compromised, but it turns out there's…
👎8👍6
npm 上的沙盒模块 vm2 被发现存在沙盒绕过漏洞。用到此模块的用户(例如 snowpack 间接依赖此模块)可以考虑对其进行更新。
影响版本: [, 3.9.6)
CVE: CVE-2021-23555 (CVSS: 9.8)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23555
https://security.snyk.io/vuln/SNYK-JS-VM2-2309905
#CVE #vm2 #npm #Sandbox
影响版本: [, 3.9.6)
CVE: CVE-2021-23555 (CVSS: 9.8)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23555
https://security.snyk.io/vuln/SNYK-JS-VM2-2309905
#CVE #vm2 #npm #Sandbox
cve.mitre.org
CVE -
CVE-2021-23555
CVE-2021-23555
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
👍6
层叠 - The Cascading
node-ipc 是一个在 npm 每周约 100 万次下载的库,间接依赖此库的知名软件包括 Vue CLI 等。 这个库的 10.1.3 版本中以 "added ssl check" 的 commit message 添加了一份混淆过的代码 ssl-geospec.js [1]。这段代码会在被引用时检查主机的 IP,并在地理位置被标记为俄罗斯/白俄罗斯的设备上以 "❤️" 覆盖全盘所有文件。 包含 ssl-geospec.js 的版本目前已经被从 npm 移除,而 Vue CLI 锁定的 node-ipc…
Vue CLI 已经发布 4.5.16/5.0.3 版本,以锁定 node-ipc 的依赖到不含 peacenotwar 模块的版本。昨天下午到晚上新透过 Vue CLI 创建的项目/更新依赖的项目可能受到 peacenotwar 模块的影响,但此模块不会导致文件被删除。
https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1068677029
thread: /3471
#Vue #NodeIPC #npm
https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1068677029
thread: /3471
#Vue #NodeIPC #npm
GitHub
!!!!!!!!!!!! Please do something to warn USERS besides publishing new versions · Issue #7054 · vuejs/vue-cli
See https://github.com/RIAEvangelist/node-ipc/issues/233#issuecomment-1068182278 the node-ipc is doing things far more than ever expected. If any users are using ip in russia, all their file will b...
👍9
GitHub 和 npm 在逐渐推进 2FA 的普及。
npm 正在要求被大量依赖的包的维护者强制配置 2FA:今年二月是前 100 的 npm 包,五月末是前 500,今年第三季度则将要求所有超过 500 个依赖或超过 100 万每周下载的包的维护者均启用 2FA。
GitHub 也将要求所有在 GitHub.com 贡献代码的用户最晚于 2023 年末启用一种或多种 2FA 方式。
https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/
#2FA #Security #Ecosystem #GitHub #npm
npm 正在要求被大量依赖的包的维护者强制配置 2FA:今年二月是前 100 的 npm 包,五月末是前 500,今年第三季度则将要求所有超过 500 个依赖或超过 100 万每周下载的包的维护者均启用 2FA。
GitHub 也将要求所有在 GitHub.com 贡献代码的用户最晚于 2023 年末启用一种或多种 2FA 方式。
https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/
#2FA #Security #Ecosystem #GitHub #npm
The GitHub Blog
Software security starts with the developer: Securing developer accounts with 2FA
GitHub will require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA) by the end of 2023.
👍40👎6
层叠 - The Cascading
GitHub 和 npm 在逐渐推进 2FA 的普及。 npm 正在要求被大量依赖的包的维护者强制配置 2FA:今年二月是前 100 的 npm 包,五月末是前 500,今年第三季度则将要求所有超过 500 个依赖或超过 100 万每周下载的包的维护者均启用 2FA。 GitHub 也将要求所有在 GitHub.com 贡献代码的用户最晚于 2023 年末启用一种或多种 2FA 方式。 https://github.blog/2022-05-04-software-security-starts-with…
npm 的更新使用户现在可以:
* 设置多种 2FA 方式,包括二步验证应用、生物设备,以及硬件安全密钥等。
* npm 6 以上的版本将可以使用生物设备/硬件安全密钥作为登录和发布时的 2FA 验证方式。
* 查看和生成安全代码
- https://github.blog/changelog/2022-05-10-enhanced-2fa-experience-for-npm-accounts-public-beta/
- https://github.blog/2022-05-10-enhanced-2fa-experience-for-your-npm-account/
thread: /3572
#npm #2FA
* 设置多种 2FA 方式,包括二步验证应用、生物设备,以及硬件安全密钥等。
* npm 6 以上的版本将可以使用生物设备/硬件安全密钥作为登录和发布时的 2FA 验证方式。
* 查看和生成安全代码
- https://github.blog/changelog/2022-05-10-enhanced-2fa-experience-for-npm-accounts-public-beta/
- https://github.blog/2022-05-10-enhanced-2fa-experience-for-your-npm-account/
thread: /3572
#npm #2FA
The GitHub Blog
Enhanced 2FA experience for npm accounts: public beta | GitHub Changelog
层叠 - The Cascading
GitHub 注意到,一位攻击者利用 GitHub 提供给 5 个与 Heroku 和 Travis CI 相关的 OAuth App 的 token,从包括 npm 在内的大量组织下载了数据。文章分析称,这些 token 应该不是从 GitHub 一端泄露的。 GitHub 已经就此事联系 Heroku 和 Travis。受影响用户会在 72 小时内收到通知邮件和事件详情。 https://github.blog/2022-04-15-security-alert-stolen-oauth-user…
GitHub 发布对近期 npm 安全事件的分析。其中提到攻击者利用了存储在 npm 私有 repo 的凭据获取了包含公开/私有包元信息和包括密码哈希的用户信息等内容。利用这些凭据,攻击者本还可以直接修改 S3 上存储的 npm 包的内容,不过 GitHub 经过核实后表示攻击者并未这么做。GitHub 还注意到一些密钥出现在内部日志中,不过这些日志应该并未被攻击者访问。
在文章中,GitHub 也提到了应对这些问题的措施和做出的改变。
https://github.blog/2022-05-26-npm-security-update-oauth-tokens/
seealso: HackerNews:31526044
thread: /3537
#GitHub #npm #Security #Postmortem
在文章中,GitHub 也提到了应对这些问题的措施和做出的改变。
https://github.blog/2022-05-26-npm-security-update-oauth-tokens/
seealso: HackerNews:31526044
thread: /3537
#GitHub #npm #Security #Postmortem
The GitHub Blog
npm security update: Attack campaign using stolen OAuth tokens
npm's impact analysis of the attack campaign using stolen OAuth tokens and additional findings.
👍2👎1🔥1
最近 GitHub 和 npm 的新闻有点儿多儿:
* GitHub Sponsors 在 30 个新地区开放。猜猜有没有中国大陆?(提示:没有。)
https://github.blog/2022-07-28-github-sponsors-available-in-30-new-regions-2/
* 新 GitHub Projects 进入 GA 阶段。
https://github.blog/changelog/2022-07-27-github-issues-projects-now-generally-available/
* 现在 fork 时可以选择只 fork 主分支。
https://github.blog/changelog/2022-07-27-you-can-now-fork-a-repo-and-copy-only-the-default-branch/
* 现在 GitHub Pages 可以通过自定义 GitHub Actions 直接部署,而不必把构建结果专门 push 到特定分支来发布到 Pages。
https://github.blog/changelog/2022-07-27-github-pages-custom-github-actions-workflows-beta/
* npm 包的签名从使用 PGP 变为使用 ECDSA 。用户可以运行
https://github.blog/changelog/2022-07-26-a-new-npm-audit-signatures-command-to-verify-npm-package-integrity/
* npm 新增一些安全增强特性。例如使用
- https://github.blog/changelog/2022-07-26-general-availability-of-improved-2fa-experience-in-npm/
- https://github.blog/changelog/2022-07-26-beta-release-of-verifiable-github-and-twitter-account-linking/
#GitHub #npm
* GitHub Sponsors 在 30 个新地区开放。猜猜有没有中国大陆?(提示:没有。)
https://github.blog/2022-07-28-github-sponsors-available-in-30-new-regions-2/
* 新 GitHub Projects 进入 GA 阶段。
https://github.blog/changelog/2022-07-27-github-issues-projects-now-generally-available/
* 现在 fork 时可以选择只 fork 主分支。
https://github.blog/changelog/2022-07-27-you-can-now-fork-a-repo-and-copy-only-the-default-branch/
* 现在 GitHub Pages 可以通过自定义 GitHub Actions 直接部署,而不必把构建结果专门 push 到特定分支来发布到 Pages。
https://github.blog/changelog/2022-07-27-github-pages-custom-github-actions-workflows-beta/
* npm 包的签名从使用 PGP 变为使用 ECDSA 。用户可以运行
npm audit signatures 检查包签名。https://github.blog/changelog/2022-07-26-a-new-npm-audit-signatures-command-to-verify-npm-package-integrity/
* npm 新增一些安全增强特性。例如使用
--auth-type=web 借助浏览器进行登录/发布新包的验证及使用硬件密钥验证、为方便 workspace 用户一次性发布多个包设计的 5 分钟记住验证状态的功能,以及通过 OAuth 与 GitHub 和 Twitter 帐号绑定(过去这两项社交媒体关系都由开发者自行填写)。- https://github.blog/changelog/2022-07-26-general-availability-of-improved-2fa-experience-in-npm/
- https://github.blog/changelog/2022-07-26-beta-release-of-verifiable-github-and-twitter-account-linking/
#GitHub #npm
The GitHub Blog
GitHub Sponsors available in 30 new regions
GitHub Sponsors expands globally with 30 newly supported regions, bringing the total to 68.
👍19
🤨17👍4
层叠 - The Cascading
最近 GitHub 和 npm 的新闻有点儿多儿: * GitHub Sponsors 在 30 个新地区开放。猜猜有没有中国大陆?(提示:没有。) https://github.blog/2022-07-28-github-sponsors-available-in-30-new-regions-2/ * 新 GitHub Projects 进入 GA 阶段。 https://github.blog/changelog/2022-07-27-github-issues-projects-now-generally…
npm 宣布基于 PGP 的 registry 签名将于 2023/3/31 被废弃。此日期后的签名将不再使用 PGP 密钥 (3D4D 5B12 0276 566A) [1]。
https://github.blog/changelog/2022-11-01-npm-signature-verification-using-pgp-keys-is-now-deprecated/
1. https://keybase.io/npmregistry
#npm #PGP #ECDSA
https://github.blog/changelog/2022-11-01-npm-signature-verification-using-pgp-keys-is-now-deprecated/
1. https://keybase.io/npmregistry
#npm #PGP #ECDSA
The GitHub Blog
npm signature verification using PGP keys is now deprecated. - GitHub Changelog
In July 2022 the public npm registry migrated away from the existing PGP signatures to a new ECDSA signatures for signature verification. PGP based registry signatures will be deprecated on…
🤔21👍2
chalk 和 chokidar 均为 npm 上著名包。
GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包(与此 PR 似乎无关),此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2],疑似同一位作者还发布了包含类似行为,名为 chokidar-next 的包 [4]。
从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看,这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。
目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。
1. https://github.com/toeverything/AFFiNE/pull/668
2. https://twitter.com/yihong0618/status/1610919470410928133
3. https://www.npmjs.com/org/chu1204505056
4. web.archive.org/~
5. web.archive.org/~
6. https://github.com/chuzhixin/chalk-next
7. https://www.npmjs.com/package/chalk-next
8. https://www.npmjs.com/package/chokidar-next
#npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security
GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包(与此 PR 似乎无关),此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2],疑似同一位作者还发布了包含类似行为,名为 chokidar-next 的包 [4]。
从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看,这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。
目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。
1. https://github.com/toeverything/AFFiNE/pull/668
2. https://twitter.com/yihong0618/status/1610919470410928133
3. https://www.npmjs.com/org/chu1204505056
4. web.archive.org/~
5. web.archive.org/~
6. https://github.com/chuzhixin/chalk-next
7. https://www.npmjs.com/package/chalk-next
8. https://www.npmjs.com/package/chokidar-next
#npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security
GitHub
Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE
There can be more than Notion and Miro. AFFiNE is a next-gen knowledge base that brings planning, sorting and creating all together. Privacy first, open-source, customizable and ready to use. - Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE
👎36🔥5🤨4
硬件钱包厂商 Ledger 前雇员遭受钓鱼攻击,导致其项目被骇;用户资产可能进入骇客钱包。
- Ledger 的声明称,Ledger Connect Kit [1] 被发布三个恶意版本 (1.1.5/1.1.6/1.1.7)。恶意版本会将用户的资产转移到骇客钱包。
- Ledger 提供的骇客钱包地址中目前有现时价值约 10 万美元的代币。
- 此行为所利用的 WalletConnect 项目已被关停;Tether 也已经冻结此地址上的 USDT 代币。
https://twitter.com/Ledger/status/1735326240658100414
1. npm:@ledgerhq/connect-kit
#Ledger #npm #Security #Crypto
- Ledger 的声明称,Ledger Connect Kit [1] 被发布三个恶意版本 (1.1.5/1.1.6/1.1.7)。恶意版本会将用户的资产转移到骇客钱包。
- Ledger 提供的骇客钱包地址中目前有现时价值约 10 万美元的代币。
- 此行为所利用的 WalletConnect 项目已被关停;Tether 也已经冻结此地址上的 USDT 代币。
https://twitter.com/Ledger/status/1735326240658100414
1. npm:@ledgerhq/connect-kit
#Ledger #npm #Security #Crypto
X (formerly Twitter)
Ledger (@Ledger) on X
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline…
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline…
🤔15
npmjs.org 被用来托管《武林外传》视频及弹幕。
- Sonatype 发现 npm 上的 748 个包名以 wlwz 开头的包里的 .ts 文件并不是 TypeScript 源代码,而是视频文件 (MPEG-TS)。
- 虽然文章中没有写明,但中文订户大概能看出视频的内容是《武林外传》剧集。
blog.sonatype.com/~
linksrc: https://www.v2ex.com/t/1012222
#npm
- Sonatype 发现 npm 上的 748 个包名以 wlwz 开头的包里的 .ts 文件并不是 TypeScript 源代码,而是视频文件 (MPEG-TS)。
- 虽然文章中没有写明,但中文订户大概能看出视频的内容是《武林外传》剧集。
blog.sonatype.com/~
linksrc: https://www.v2ex.com/t/1012222
#npm
Sonatype
npm Registry Flooded with 748 Movie-Storing Packages
The Sonatype Security Research team came across 748 packages flooding the npm software registry.
🤔82🐳28👎22🤨17🔥7
#PSA: debug、chalk 等 npm 包被骇:请检查受影响版本是否被使用。
- Qix- 是终端字符处理方面一些著名 npm 包的开发者,维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。
- 开发者被 2FA 恢复验证邮件钓鱼,使得骇客得以访问开发者的 npm 账号。
- 目前有 18 个包确认被注入恶意代码;截至现时,已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。
- (ChatGPT 称)恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址,使用户的付款等操作的接收者变为骇客提供的地址。
gh:debug-js/debug#1005
seealso: HackerNews:45169657
linksrc: https://t.me/bupt_moe/2516
#npm #security
- Qix- 是终端字符处理方面一些著名 npm 包的开发者,维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。
- 开发者被 2FA 恢复验证邮件钓鱼,使得骇客得以访问开发者的 npm 账号。
- 目前有 18 个包确认被注入恶意代码;截至现时,已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。
- (ChatGPT 称)恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址,使用户的付款等操作的接收者变为骇客提供的地址。
gh:debug-js/debug#1005
seealso: HackerNews:45169657
linksrc: https://t.me/bupt_moe/2516
#npm #security
GitHub
(RESOLVED) Version 4.4.2 published to npm is compromised · Issue #1005 · debug-js/debug
MESSAGE FROM @Qix- : PLEASE SEE #1005 (comment) FOR LATEST UPDATES. Version not present in this repo has been pushed out to npm. https://www.npmjs.com/package/debug/v/4.4.2?activeTab=code src/index...
🕊8🐳1
Shai-Hulud:npm 供应链投毒攻击;建议订户检查自己的设备/repo 是否有受到影响。
- 超过 1000 个包被投毒虚假的 Bun 安装器。
- 攻击行为包括创建名为 SHA1HULUD 的 GitHub Action runner 和建立 actionsSecrets.json 文件存储密钥等。
https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
#Sha1Hulud #npm #Ecocystem
- 超过 1000 个包被投毒虚假的 Bun 安装器。
- 攻击行为包括创建名为 SHA1HULUD 的 GitHub Action runner 和建立 actionsSecrets.json 文件存储密钥等。
https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
#Sha1Hulud #npm #Ecocystem
❤7🤨1