Tuż po północy atakujący przejęli kontrolę nad kontem npm twórcy biblioteki axios i opublikowali dwie złośliwe wersje #programowanie #javascript #nodejs
Komentarze (8)
U mnie w robocie już pożar w burdelu
Czytam opis i muszę przyznać, że koronkowa robota.
Wiecie ile jest nieznalezionego syfu bo nikt nie sprawdza? Potem cały świat używa.
Od czasu poprzedniego ataku (którego byłem ofiarą) wywalilem NPM z komputera w cholerę i jeśli kiedykolwiek jeszcze będę miał konieczność go użyć, to zrobię to w jakimś kompletnie odizolowanym środowisku.
@NooT Jeśli się pracuje przy tworzeniu stron i aplikacji internetowych to nie da się tak po prostu wywalić managera pakietów noda bo to jest dosłownie podstawowe narzędzie pracy i bez niego teraz nie zrobisz nic.
Ale owszem można tego używać w odizolowanym środowisku ale w zależności od projektu i systemu operacyjnego to może być skomplikowane do ogarnięcia.
@Catharsis pewnie, że nie jest to łatwe, ale liczba tych ataków ostatnio tak się nasiliła, że to chyba jedyne bezpieczne rozwiązanie
@NooT @Catharsis : tam była opcją instalowania bez uruchamiania setup scripts, odrobinę bezpieczniej.
OMG ale fuks xD. W nocy dla testu sobie coś vibecodowałem i jak podałem panu Gemini wymagania to włączył się tryb planowania gdzie pytał o technologię i stacka i zobaczyłem, że chciał właśnie użyć axios to mu napisałem, że nie lubię tej biblioteki i niech używa czystego JS do tego. Tyle wygrać xD.
A co do axios, to jako osoba która dość niedawno weszła do świata JS to totalnie nie widzę sensu używania tej biblioteki w 2026 roku (i paru wcześniejszych też). Natywny Fetch w JS już daję radę i myślę, że w 90% przypadków korzystanie z tej biblioteki to jest totalny overkill.
To jest ogólnie moim zdaniem teraz spory problem w ekosystemie JS i jego menagerów pakietów bo tak naprawdę spora część paczek jest totalnie zbędna. Owszem kiedyś były potrzebne kiedy JS był w powijakach i nawet głupie HTTP requesty wymagały sporo boilerplate kodu. Ale teraz ten język się tak rozwinął, że sporo tych paczek mogło by odejść w zapomnienie i one są używane tylko dlatego, że ludzie się do nich przyzwyczaili albo utrzymują stare projekty które z nich korzystają.
Ludzie czasem mega przesadzają i jak potrzebują jakiejś funkcjonalności to od razu importują bibliotekę do tego a czasem wystarczy napisać funkcje ręcznie na kilkanaście linijek która robi to samo i wtedy nie masz takich problemów z zależnościami. A zwłaszcza teraz w czasach AI, wystarczy dobrze napisać prompta i dostanie się gotową funkcje z testami i opisem. AI przecież było trenowane na takich paczkach więc spokojnie to zrobi i potem jeszcze może to utrzymywać i pisać kolejne testy xD.
Zaloguj się aby komentować