JavaScript-библиотека eslint-scope была скомпрометирована и похищала учетные данные nmp - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
14-07-2018, 02:00
JavaScript-библиотека eslint-scope была скомпрометирована и похищала учетные данные nmp - «Новости»
Рейтинг:
Категория: Новости

Стало известно, что 11-12 июля 2018 года неизвестные лица взломали разработчика популярной jаvascript-библиотеки eslint-scope (модуль для аналитического тулкита ESLint). Злоумышленники внедрили в библиотеку вредоносный код, похищавший учетные данные пользователей.


Проблему заметили сами разработчики. Дело в том, что ночью, когда все спали, был сгенерирован новый nmp-токен. Затем неизвестный злоумышленник использовал этот токен чтобы пройти аутентификацию и разместить обновленную версию библиотеки eslint-scope в репозитории npm, предназначенном для jаvascript пакетов.


Хотя изначально специалисты предполагали, что компрометации подвергся только код esling-scope 3.7.3, согласно финальным результатам расследования, опубликованным сегодня, атакующий также изменил eslint-config-eslint, обнародовав вредоносную версию (eslint-config-eslint 5.0).


Разработчики предупреждают, что вредоносный код, опубликованный хакером, предназначался для хищения учетных данных nmp. В связи с этим всем пользователям, которые устанавливали вредоносные версии модулей рекомендуется как можно скорее сменить пароли и, если это возможно, отозвать существующие токены npm, сгенерировав новые.


Сообщается, что в ходе инцидента компрометации могли подвергнуться порядка 4500 токенов. Впрочем, у разработчиков нет полной уверенности в том, что атакующие действительно наложили на эти токены руки и пытались использовать их для доступа к аккаунтам npmjs.com. Тем не менее, специалисты отозвали все токены, созданные 12 июня 2018 до 2:30 ночи (UTC). То есть некоторым пользователям придется пройти аутентификацию на npmjs.com заново и сгенерировать новые токеры.


В официальном заявлении подчеркивается, что речи о компрометации и взломе npmjs.com не идет. Инцидент произошел из-за банальной утечки учтенных данных одного из разработчиков (очевидно, двухфакторной аутентификацией в очередной раз пренебрегли). В настоящее время неназванный девелопер уже вернул контроль над учетной записью, активировал двухфакторную аутентификацию, а вредоносные модификации популярных библиотек были удалены.


Источник новостиgoogle.com

Стало известно, что 11-12 июля 2018 года неизвестные лица взломали разработчика популярной jаvascript-библиотеки eslint-scope (модуль для аналитического тулкита ESLint). Злоумышленники внедрили в библиотеку вредоносный код, похищавший учетные данные пользователей. Проблему заметили сами разработчики. Дело в том, что ночью, когда все спали, был сгенерирован новый nmp-токен. Затем неизвестный злоумышленник использовал этот токен чтобы пройти аутентификацию и разместить обновленную версию библиотеки eslint-scope в репозитории npm, предназначенном для jаvascript пакетов. Хотя изначально специалисты предполагали, что компрометации подвергся только код esling-scope 3.7.3, согласно финальным результатам расследования, опубликованным сегодня, атакующий также изменил eslint-config-eslint, обнародовав вредоносную версию (eslint-config-eslint 5.0). Разработчики предупреждают, что вредоносный код, опубликованный хакером, предназначался для хищения учетных данных nmp. В связи с этим всем пользователям, которые устанавливали вредоносные версии модулей рекомендуется как можно скорее сменить пароли и, если это возможно, отозвать существующие токены npm, сгенерировав новые. Сообщается, что в ходе инцидента компрометации могли подвергнуться порядка 4500 токенов. Впрочем, у разработчиков нет полной уверенности в том, что атакующие действительно наложили на эти токены руки и пытались использовать их для доступа к аккаунтам npmjs.com. Тем не менее, специалисты отозвали все токены, созданные 12 июня 2018 до 2:30 ночи (UTC). То есть некоторым пользователям придется пройти аутентификацию на npmjs.com заново и сгенерировать новые токеры. В официальном заявлении подчеркивается, что речи о компрометации и взломе npmjs.com не идет. Инцидент произошел из-за банальной утечки учтенных данных одного из разработчиков (очевидно, двухфакторной аутентификацией в очередной раз пренебрегли). В настоящее время неназванный девелопер уже вернул контроль над учетной записью, активировал двухфакторную аутентификацию, а вредоносные модификации популярных библиотек были удалены. Источник новости - google.com

Теги: CSS, eslint-scope компрометации данных вредоносный аутентификацию

Просмотров: 819
Комментариев: 0:   14-07-2018, 02:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: