Ніколи не було і от знову )
Взагалі здивований , що цього не помітили одразу. Чи помітили ? 😉
Ну і взагалі, підгружати з чужих репозиторіїв - трохи небезпечна річ. Хоча, звичайно, свіжі глюки і трояни, перепрошую, фічі і фікси - це досить зручно.
Remote execution на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
https://www.opennet.ru/opennews/art.shtml?num=54566
Comments (5)
Подмена пакета, скорее всего, разрушит функциональность модуля, если они что и наловили, то запуск тестовых сборок - что, конечно, тоже жопа, но вряд ди уйдет в продакшен незамеченным
Достаточно того, что они запустили у себя в сети код из инета. А там уже сервера тестировщиков редко бывают герметично закрыты от внутренней сети.
Да и просто исходники всякой проприетарщины можно умыкнуть.
Нехуй манифесты выкладывать целиком
Там совсем весело - из preinstall можно выполнить произвольный код
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
Підгружати з чужих репозиторіїв це зараз мейнстрім дякуючи docker & Kubernetes