Community Forum

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

NEWS

World domination (how-to)

2 Beiträge 1 Kommentatoren 338 Aufrufe 2 Beobachtet

O Offline
O Offline
OpenSourceNomad
Most Active
schrieb am zuletzt editiert von OpenSourceNomad

#1
@lrvick at mastodon.social
Buy expired NPM maintainer email domains.

Re-create maintainer emails

Take over packages

Submit legitimate security patches that include package.json version bumps to malicious dependency you pushed

Enjoy world domination.
@lrvick at mastodon.social

I just noticed "foreach" on npm is controlled by a single maintainer.

I also noticed they let their personal email domain expire, so I bought it before someone else did.

I now control "foreach" on NPM, and the 36826 projects that depend on it.

Fällt mir eigentlich nur dieses xkcd zu ein:
„Das Widerlegen von Schwachsinn erfordert eine Größenordnung mehr Energie als dessen Produktion.“ - Alberto Brandolini (Bullshit-Asymmetrie-Prinzip)
O 1 Antwort Letzte Antwort

0
O OpenSourceNomad
@lrvick at mastodon.social
1. Buy expired NPM maintainer email domains.
2. Re-create maintainer emails
3. Take over packages
4. Submit legitimate security patches that include package.json version bumps to malicious dependency you pushed
5. Enjoy world domination.
@lrvick at mastodon.social

I just noticed "foreach" on npm is controlled by a single maintainer.

I also noticed they let their personal email domain expire, so I bought it before someone else did.

I now control "foreach" on NPM, and the 36826 projects that depend on it.

Fällt mir eigentlich nur dieses xkcd zu ein:
O Offline
O Offline
OpenSourceNomad
Most Active
schrieb am zuletzt editiert von

#2

npm kann jetzt endlich auch webauth ("passwordless" auth) https://github.blog/2022-05-10-enhanced-2fa-experience-for-your-npm-account/ (müssen die maintainer aber natürlich selber aktivieren, für verwaiste Accounts ist das also leider keine Hilfe...)
„Das Widerlegen von Schwachsinn erfordert eine Größenordnung mehr Energie als dessen Produktion.“ - Alberto Brandolini (Bullshit-Asymmetrie-Prinzip)
1 Antwort Letzte Antwort

0

Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.

Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.

Mit deinem Input könnte dieser Beitrag noch besser werden 💗

Registrieren Anmelden

Support us

446

Online

32.8k

Benutzer

82.7k

Themen

1.3m

Beiträge