Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно. В мае 2025 года в npm-репозитории появился пакет "lotusbail", реализующий работу с API мессенджера WhatsApp (разрабатываемого экстремистской компанией Meta). Этот пакет выполнял все заявленные функции.👌 НО кроме того, содержал зловредную функциональность по перехвату сообщений, контактов, токенов аутентификации и привязке аккаунта жертвы к устройству атакующего. 🤷♂️
Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱
❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.