Dasturlash
Debian tarqatmalari uchun takrorlanadigan paketlar talabi kuchaymoqda
Debian hamjamiyati takrorlanadigan paketlar (reproducible builds)ni majburiy qilishni ko'rib chiqmoqda – bu xavfsizlik, ishonchlilik va sifatni oshiradi.
Dasturlash
Kriptovalyuta dunyosida xavfli o'yin: dYdX foydalanuvchilarining hamyonlari o'g'irlangan!
Kriptovalyuta dunyosida xavfli o'yin: dYdX foydalanuvchilarining hamyonlari o'g'irlangan!
Ochiq manbali dasturiy ta'minot paketlari har doim ham ishonchli bo'lavermaydi. Yaqinda npm va PyPI kabi mashhur repozitoriylarda dYdX kriptovalyuta birjasi foydalanuvchilarining hamyon ma'lumotlarini o'g'irlaydigan zararli kodlar topildi.
Socket xavfsizlik kompaniyasi mutaxassislari xabar berishicha, ushbu zararli paketlar dYdX dasturchilari va orqa tizimlaridan hamyon ma'lumotlarini o'g'irlashga qaratilgan. Ba'zi hollarda, qurilmalarga maxfiy eshik (backdoor) o'rnatilgan.
Xavf ostida bo'lgan paketlar:
- npm (@dydxprotocol/v4-client-js):
- 3.4.1
- 1.22.1
- 1.15.2
- 1.0.31
- PyPI (dydx-v4-client):
- 1.1.5post1
dYdX nima o'zi?
dYdX - bu markazlashmagan derivativlar birjasi bo'lib, u "abadiy savdo" uchun yuzlab bozorlarni qo'llab-quvvatlaydi. Oddiy qilib aytganda, bu kriptovalyuta yordamida derivativlarning kelajakdagi qiymati oshishi yoki kamayishiga pul tikish imkonini beradi. Socket ma'lumotlariga ko'ra, dYdX o'z faoliyati davomida 1,5 trillion dollardan ortiq savdo hajmini qayd etgan.
Birja savdo botlari, avtomatlashtirilgan strategiyalar yoki orqa tizim xizmatlari uchun uchinchi tomon ilovalariga imkon beruvchi kod kutubxonalarini taqdim etadi. Ushbu ilovalarning barchasi xavfsizlik uchun muhim bo'lgan mnemoniklar yoki shaxsiy kalitlar bilan ishlaydi.
Zararli kod qanday ishladi?
npm-dagi zararli dasturiy ta'minot qonuniy paketga yashirincha zararli funksiyani o'rnatdi. Hamyon xavfsizligini ta'minlovchi seed iborasi (seed phrase) qayta ishlanganida, funksiya uni ilovani ishga tushirayotgan qurilmaning "barmoq izi" (fingerprint) bilan birga o'g'irlab oldi. Qurilmaning "barmoq izi" tahdid soluvchiga o'g'irlangan ma'lumotlarni bog'lash va jabrlanuvchilarni bir nechta buzilishlar bo'yicha kuzatish imkonini berdi. O'g'irlangan seed iborasi dydx[.]priceoracle[.]site domeniga yuborilgan. Bu domen dYdXning haqiqiy xizmati (dydx[.]xyz) bilan adashib qolishi mumkin, chunki u typosquatting (o'xshash nomlardan foydalanish) orqali yaratilgan.
Xulosa
Ushbu hodisa ochiq manbali dasturiy ta'minotni ishlatishda ehtiyotkor bo'lish zarurligini yana bir bor eslatib o'tadi. Dasturiy ta'minotni yuklab olishdan oldin manbaning ishonchliligini tekshirish va xavfsizlik qoidalariga rioya qilish juda muhim. Kriptovalyuta hamyoningiz xavfsizligini ta'minlash uchun doimo ehtiyot bo'ling!
Kalit so'zlar: dYdX, kriptovalyuta, xavfsizlik, npm, PyPI, hamyon, o'g'irlik, zararli dastur, seed iborasi
Manba: Ars Technica
Telegram da muhokama qilish
O'xshash maqolalar
Dasturlash
Yo'nalish Rejasining O'limi: Nega An'anaviy Roadmaplar Qoldi?
An'anaviy roadmaplar zamonaviy agile usullari bilan mos kelmaydi; bu maqolada ularning o'lim sabablari va yangi yondashuvlar ko'rib chiqiladi.
Dasturlash
Dasturlashni nazariy model qurish sifatida ko‘rish: Peter Naurdan o‘rganishlar
Peter Naurning "Programming as Theory Building" asari dasturlashni nazariy model qurish orqali samarali kod, hujjat va arxitektura yaratish usulini tushuntiradi.
Dasturlash
Yosh dasturchi GitHub Store loyihasini 6 oy ichida 12 500 yulduzga yetkazdi
16‑yoshli Oʻzbekistonlik dasturchi Kotlin Multiplatform yordamida GitHub Store yaratib, 6 oy ichida 12 500+ yulduz va 250 000+ yuklab olishga erishdi.