โครงการ JavaScript จำนวนมากมีปัญหา หลังนักพัฒนาสำคัญถอนตัวจาก NPM
Azer Koçulu นักพัฒนาจาวาสคริปต์ที่เขียนโมดูลจำนวนมากลง NPM ประกาศถอดโมดูลทั้งหมดออกส่งผลให้โครงการใหญ่ๆ ที่ใช้งานโมดูลของเขา เช่น Node.js และ Babel มีปัญหาไปด้วย Koçulu เป็นผู้พัฒนาโมดูล Kik...
View Articlenpm ยกเครื่องระบบค้นหา ช่วยเลือกแพ็กเกจที่ใช่
npm เป็นระบบจัดการแพ็กเกจ JavaScript ที่ได้รับความนิยมและเติบโตอย่างรวดเร็ว จนในปัจจุบัน npm รวบรวมแพ็กเกจไว้มากถึงราว 400,000 แพ็กเกจ และมียอดดาวน์โหลดกว่า 300 ล้านครั้งต่อวัน แต่ในทางตรงข้าม...
View Articlenpm พบแพ็กเกจแอบเก็บข้อมูลส่งกลับเซิร์ฟเวอร์...
npm ออกประกาศเตือนผู้ใช้ หลังได้รับแจ้งว่าแพ็กเกจ crossenv ที่ตั้งชื่อคล้ายกับแพ็กเกจ cross-env มีพฤติกรรมอันตรายด้วยการเก็บค่า environment ของระบบที่ติดตั้งแล้วส่งกลับเซิร์ฟเวอร์...
View Articleบั๊กใน npm ทำเครื่องแครช อาจต้องลง OS ใหม่
ผู้ใช้รายงานบั๊กใน npm 5.7.0 หากรันด้วยสิทธิ์ root อาจจะทำให้ระบบไฟล์เสียหายถึงขั้นต้องติดตั้งระบบปฎิบัติการใหม่ บั๊กนี้เกิดจากแพตช์ที่เปลี่ยนแพ็กเกจจาก mkdirp เป็น correct-mkdir...
View Articleแพ็กเกจยอดนิยมใน npm ถูกแฮกเกอร์ขอเป็นผู้ดูแล แอบใส่โค้ดขโมยเงินคริปโต
แพ็กเกจ event-stream ใน npm ย้ายเจ้าของจากผู้ดูแลเดิมมาสู่ผู้ใช้ GitHub ที่ชื่อว่า right9ctrl และออกเวอร์ชั่นใหม่เมื่อไม่กี่วันที่ผ่านมา และพบว่าโค้ดที่เพิ่มเข้ามามีโค้ดมุ่งร้าย น่าจะใช้ขโมยเงินคริปโต...
View Articleจากซอร์สโค้ดสู่แพ็กเกจ GitHub เปิดตัว Package Registry...
GitHub เปิดตัวบริการใหม่ GitHub Package Registry ที่ช่วยให้เราแปลงซอร์สโค้ดของซอฟต์แวร์บน GitHub ไปเป็นแพ็กเกจซอฟต์แวร์สำหรับแจกจ่าย (ทั้งภายในองค์กรหรือสาธารณะ) โดยโฮสต์อยู่บนเซิร์ฟเวอร์และ CDN ของ...
View Articlenpm แจ้งเตือนแพ็กเกจ bb-builder มีโค้ดมุ่งร้าย ใครเคยลงควรถือว่าเครื่องถูกแฮก
npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย...
View Articleนักพัฒนาแพ็กเกจใน npm ยกเลิกการโฆษณาบนเทอร์มินัลหลังถูกโวยเป็นวงกว้าง
เมื่อกลางเดือนสิงหาคมที่ผ่านมา Feross Aboukhadijeh ผู้ดูแลแพ็กเกจ standard ใน npm ประกาศทดลองโมเดลรายได้ใหม่ ด้วยการสร้างแพ็กเกจ funding ที่จะแสดงโฆษณาบนเทอร์มินัลของผู้ที่ติดตั้งแพ็กเกจ...
View ArticleGitHub ประกาศเข้าซื้อ npm สร้างสภาพแวดล้อมสำหรับนักพัฒนาที่ปลอดภัย
GitHub ประกาศว่าลงนามข้อตกลงเข้าซื้อกับ npm เรียบร้อยแล้ว โดยสัญญาว่าบริการ npm จะฟรีตลอดไป แต่จะมีการปรับปรุง 3 ด้านได้แก่โครงสร้างพื้นฐานให้เพียงพอต่อการเติบโตของชุมชนผู้ใช้งาน ให้ทำงานได้เร็ว,...
View Articleโมดูล is-promise ความยาว 5 บรรทัดอัพเดต ลาก React, Firebase, Angular CLI...
โมดูล is-promiseเป็นโมดูลง่ายๆ บน npm ที่ใช้ตรวจสอบว่าออปเจกต์ใดเป็น Promise บ้าง โดยตัวโมดูลเองมีความยาวเพียง 5 บรรทัดเท่านั้น (โค้ดอยู่ในภาพ) แต่การอัพเดตครั้งล่าสุดในเวอร์ชั่น 2.2.0...
View Articleโปรแกรมเมอร์ว่างงาน npm ล่มกว่าชั่วโมงแล้ว ติดตั้งแพ็กเกจไม่ได้
วันนี้ตั้งแต่ช่วงก่อนสี่โมงที่ผ่านมาบริการ npmjs มีปัญหาทั้งเว็บไซต์และบริการดาวน์โหลดแพ็กเกจ ส่งผลให้สคริปต์หลายตัวไม่ทำงานGitHub เพิ่งเข้าซื้อ npm เมื่อเดือนมีนาคมที่ผ่านมาทำให้ตอนนี้เจ้าของ npm...
View Articleนักวิจัยอัพโหลดแพ็กเกจไลบรารีเลียนแบบชื่อไลบรารีภายใน ส่งโค้ดเข้าไปรันใน...
Alex Birsan รายงานถึงการโจมตีองค์กรขนาดใหญ่จำนวนมากด้วยการสร้างแพ็กเกจไลบรารีเลียนแบบชื่อไลบรารีในองค์กรแล้วไปวางตามบริการดาวน์โหลดไลบรารีไม่ว่าจะเป็น RubyGems, npm, หรือ...
View ArticleGitHub เรียกร้องนักพัฒนาใช้ scoped package...
หลังจาก Alex Birsan รายงานถึงการโจมตีด้วยการตั้งชื่อแพ็กเกจซ้ำกับแพ็กเกจภายในของบริษัทต่างๆทาง GitHub ก็ออกมาเรียกร้องให้นักพัฒนาที่ใช้งานแพ็กเกจภายในว่าควรใช้ scoped package ที่เป็นฟีเจอร์ของ...
View Articleแพ็กเกจ ua-parser-js บน npm ถูกแฮก คนร้ายวางมัลแวร์ขุดเงินคริปโต, ขโมยรหัสผ่าน
ผู้ดูแลแพ็กเกจ ua-parser-js บน npmถูกคนร้ายแฮกบัญชีและวางแพ็กเกจเวอร์ชั่น 0.7.29, 0.8.0, และ 1.0.0 เพื่อวางมัลแวร์ในเครื่องของเหยื่อ โดยนักพัฒนาที่โหลดแพ็กเกจนี้ไปควรถือว่าเครื่องของตัวเองถูกแฮก...
View Articleบัญชี npm ของไลบรารี coa ถูกแฮก ทำแอป React/Vue build ไม่ผ่านทั่วโลก...
ไลบรารี coa หรือ Command-Option-Argument เป็นไลบรารีสำหรับอ่านคำสั่ง command line ยอดนิยมบน npm ถูกแฮกและคนร้ายสามารถปล่อยเวอร์ชั่นมุ่งร้าย 2.0.3, 2.0.4, 2.1.1, 2.1.3, และ 3.1.3 ให้เหยื่อดาวน์โหลดผ่าน...
View ArticleGitHub บังคับบัญชีแพ็กเกจ npm ยอดนิยม ล็อกอิน 2FA ป้องกันการแฮ็กแล้วปล่อยมัลแวร์
ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง...
View Articleนักพัฒนาทำเอง ผู้ดูแลโมดูล color.js และ faker.js ใส่โค้ดลูปทำแอปจำนวนมากพัง,...
ผู้ใช้ GitHub ชื่อบัญชี Marak เป็นผู้ดูแลโครงการโอเพนซอร์สจำนวนมากและช่วงสัปดาห์ที่ผ่านมาเขาใส่โค้ดรัน infinite loopเข้าไปยังโครงการ color.js (4,300 stars) และ faker.js (795 stars)...
View ArticleRuss Cox ระบุ NPM ควรเลิกดึงเวอร์ชั่นล่าสุด แก้ปัญหา color.js/faker.js
Russ Cox วิศวกรกิตติมศักดิ์ (Distinguished Engineer) ของกูเกิล และทีมพัฒนาภาษา Go เขียนบล็อคถึงประเด็นที่นักพัฒนาโมดูล color.js และ faker.js ใส่โค้ดทำให้แอปอื่นๆ...
View ArticleGitHub เริ่มบังคับผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 อันดับแรก ต้องล็อกอิน 2FA
GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้การที่แพ็กเกจ NPM ยอดนิยมถูกใช้งานในวงกว้าง...
View Articleนักพัฒนาโมดูล node-ipc ประท้วงสงคราม หากติดตั้งในรัสเซียจะไล่ลบไฟล์ผู้ใช้
RIAEvangelist นักพัฒนาโมดูล node-ipc ที่ได้รับความนิยมสูง ใส่โค้ดเพื่อลบไฟล์ผู้ใช้หากตรวจสอบไอพีแล้วพบว่าผู้ใช้อยู่ในรัสเซียหรือเบลารุส ไม่ว่าผู้ใช้จะติดตั้งโมดูลโดยตรงหรือติดตั้งจาก dependency...
View Article
More Pages to Explore .....