What's new
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

Стоит ли слепо доверять открытым исходникам? | Should we blindly trust open source?

oceanaric сказал(а):
Ого, не видел такого ещё)
Нажмите, чтобы раскрыть...
Это уже стандартная практика, ещё так с конца года 2022, вот как раз на подобное мой знакомый с другого борда попался, благо злоумышленник оказался глупым и пейлоудом являлся стиллер реализованный с прямой отправкой по вебхуку, думаю очевидно что было дальше😉
 
Дополню, вроде нигде в статье не написана одна важная вещь. Вредоносный модуль вообще даже не нужно использовать и запускать, чтобы он вас поимел, достаточно его просто проинсталлировать пипом.
 
Спасибо за статью, очень интересно и полезно!
Так скажем именно с "кодингом" только знакомлюсь, уверен буду внимательнее)
 
xrahitel сказал(а):
Таким способ, можно любой борд протроянить)

Нажмите, чтобы раскрыть...
Интересно насколько это эффективно, думаю на большинстве бордов выкладывают хэш-суммы вместе с файлом, а также насколько ли жертва не додумается проверить его в песочнице, тем более если борд специализирован под определенную тематику в IT
 
Doklsi сказал(а):
Интересно насколько это эффективно, думаю на большинстве бордов выкладывают хэш-суммы вместе с файлом, а также насколько ли жертва не додумается проверить его в песочнице, тем более если борд специализирован под определенную тематику в IT
Нажмите, чтобы раскрыть...
Да прекрати ты, тема на exp тыц два года пролежал пока не тыц

p.s При чем софт level23
 
xrahitel сказал(а):
Посмотреть вложение 78146

Посмотреть вложение 78147
Нажмите, чтобы раскрыть...
Забавная довольно подстава конечно... Именно с подменой общего буфера, не зря всё-таки его отключаю при работе на VPS :cool: благодарю
 

Examining Malicious Hugging Face ML Models with Silent Backdoor

Is Hugging Face the target of model-based attacks? See a detailed explanation of the attack mechanism and what is required to identify real threats >
jfrog.com

GitHub Actions Worm

GitHub's CI/CD platform, GitHub Actions, has recently become a target for a sophisticated attack vector, posing threats to both open-source projects and internal repositories. In this article, we will explore the technical intricacies of this threat ...
rezaduty-1685945445294.hashnode.dev
 
На днях возникла мысль о том что люди яро доверяют открытому исхходному коду и сами его не проверяют никкак, что не дает гарантий безобидности софтины
За статью спс
 
tvoibto сказал(а):
Как определить, какой источник надежный? 🫠
Нажмите, чтобы раскрыть...
Ресурс с многолетней репутацией, кучей установок, +самостоятельная проверка семпла даст понятие о нем в большинстве своём, но как говорится нельзя никогда доверять, ибо сыр бесплатный может оказаться в мышеловке
 
У nodejs тоже свои приколы с его npm. При установке проекта (сорсов), подтягивается такое количество зависимостей - просто жесть. Все написаны в разном стиле, код по большей части нечитаемый, даже если он на тайпскрипте. Если делаешь для веба, то бандлы (собранные в кучку весь код скриптов) весят по 10 мб это привычная тема, хотя функционала с гулькин нос.

Когда работаешь в белой индустрии и кому-то из бизнеса скажешь, что это лучше с нуля написать, чем подтягивать такого монстра, пальцем у виска покрутят и скажут, что надо смотреть на звездочки на гитхабе. Такая культура, пилят сук, на котором сидят. Их тренды.

Что касается библиотек работы с криптой, это просто огонь. Такая махина подтягивается, что такое чувство собираешь линукс, сотни пакетов говна.
 
Top