Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

Biblioteka axios zainfekowana

Zawodowiec

w Programowanie

29piorunów

Tuż po północy atakujący przejęli kontrolę nad kontem npm twórcy biblioteki axios i opublikowali dwie złośliwe wersje

Komentarze (11)

Osobistość2piorunów

OMG ale fuks xD. W nocy dla testu sobie coś vibecodowałem i jak podałem panu Gemini wymagania to włączył się tryb planowania gdzie pytał o technologię i stacka i zobaczyłem, że chciał właśnie użyć axios to mu napisałem, że nie lubię tej biblioteki i niech używa czystego JS do tego. Tyle wygrać xD.

A co do axios, to jako osoba która dość niedawno weszła do świata JS to totalnie nie widzę sensu używania tej biblioteki w 2026 roku (i paru wcześniejszych też). Natywny Fetch w JS już daję radę i myślę, że w 90% przypadków korzystanie z tej biblioteki to jest totalny overkill.

To jest ogólnie moim zdaniem teraz spory problem w ekosystemie JS i jego menagerów pakietów bo tak naprawdę spora część paczek jest totalnie zbędna. Owszem kiedyś były potrzebne kiedy JS był w powijakach i nawet głupie HTTP requesty wymagały sporo boilerplate kodu. Ale teraz ten język się tak rozwinął, że sporo tych paczek mogło by odejść w zapomnienie i one są używane tylko dlatego, że ludzie się do nich przyzwyczaili albo utrzymują stare projekty które z nich korzystają.

Ludzie czasem mega przesadzają i jak potrzebują jakiejś funkcjonalności to od razu importują bibliotekę do tego a czasem wystarczy napisać funkcje ręcznie na kilkanaście linijek która robi to samo i wtedy nie masz takich problemów z zależnościami. A zwłaszcza teraz w czasach AI, wystarczy dobrze napisać prompta i dostanie się gotową funkcje z testami i opisem. AI przecież było trenowane na takich paczkach więc spokojnie to zrobi i potem jeszcze może to utrzymywać i pisać kolejne testy xD.

Osobistość1piorunów

@Shivaa Czy ja wiem czy tylko front. Ludzie importują biblioteki jak powaleni jeśli tylko piszą w języku który im na to łatwo pozwala, obojętne czy Go, Node, Python czy Rust.

Fanatyk2piorunów

@Catharsis cały frontend na bibliotekach stoi aby napisać 2 linijki kodu mniej
A potem build 500GB ale kto by się przejmował xD

Fenomen1piorunów

Od czasu poprzedniego ataku (którego byłem ofiarą) wywalilem NPM z komputera w cholerę i jeśli kiedykolwiek jeszcze będę miał konieczność go użyć, to zrobię to w jakimś kompletnie odizolowanym środowisku.

Osobistość0piorunów

@zakar Pnpm chyba ma tak domyślnie bo zawsze się mnie pyta o to i muszę ręcznie akceptować. Ze zwykłego npm dawno nie korzystałem.

Zawodowiec1piorunów

@NooT @Catharsis : tam była opcją instalowania bez uruchamiania setup scripts, odrobinę bezpieczniej.

Fenomen0piorunów

@Catharsis pewnie, że nie jest to łatwe, ale liczba tych ataków ostatnio tak się nasiliła, że to chyba jedyne bezpieczne rozwiązanie

Osobistość1piorunów

@NooT Jeśli się pracuje przy tworzeniu stron i aplikacji internetowych to nie da się tak po prostu wywalić managera pakietów noda bo to jest dosłownie podstawowe narzędzie pracy i bez niego teraz nie zrobisz nic.

Ale owszem można tego używać w odizolowanym środowisku ale w zależności od projektu i systemu operacyjnego to może być skomplikowane do ogarnięcia.

Fanatyk3piorunów

Wiecie ile jest nieznalezionego syfu bo nikt nie sprawdza? Potem cały świat używa.

Gruba ryba3piorunów

Czytam opis i muszę przyznać, że koronkowa robota.

Gruba ryba6piorunów

U mnie w robocie już pożar w burdelu :grinning:

Biblioteka axios zainfekowana - zakar - Hejto.pl (demo semantyczne)