Разработчик представил на GitHub NotShazam — реализацию алгоритма распознавания песен Shazam, основанную на Go. Алгоритм интегрирует API Spotify и YouTube для поиска и загрузки песен.

Всем привет! Меня зовут Виталий. Я - инженер по автоматизации тестирования (SDET). Сегодня хотелось бы рассказать личную новость для меня и моего творения - Ajv-ts. На днях я смог выпустить версию 0.7. Предыдщая версия(0.6.3) была сделана 1 февраля 2024 года! 😱

Кстати, почему родился этот проект можете почитать здесь.

GitHub внедрил обязательное применение в репозитории NPM двухфакторной аутентификации к учётным записям разработчиков, сопровождающих пакеты с более чем 1 млн загрузок в неделю или используемых в качестве зависимости у более чем 500 пакетов. 

В блоге GitHub рассказали, что теперь пользователи могут видеть происхождение npm-пакетов. Обновление призвано повысить безопасность и информирование пользователей, а злоумышленникам будет сложнее выдавать вредоносный код за популярные библиотеки.

В конце декабря 2023 года и в начале января 2024 года NPM-пакет Everything от разработчика PatrickJS, охватывающий зависимостями все пакеты в репозитории NPM, случайно чуть не сломал NPM под девизом «мы оживили демона». Сообщество разработчиков Node.js оперативно сделало веб-сайт про эту ситуацию.

Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков.

Российский разработчик Виктор Мукачев (Yaffle) добавил в свою библиотеку event-source-polyfill фрагмент кода, в котором выразил протест против событий на территории Украины. 

declare function isPromise<T, S>(obj: Promise<T> | S): obj is Promise<T>;
export default isPromise;

Разработчик Рохит Дас (Rohit Dhas) из Индии выпустил утилиту Shittier, которая делает код проекта нечитаемым, но рабочим. Дас называет свой проект полной альтернативой Prettier.

Не успели специалисты Sonatype обнаружить в этом месяце вредоносное ПО для майнинга криптовалюты в трех JavaScript-библиотеках, загруженных в официальный репозиторий NPM, как появилась новая напасть. Речь пойдет о еще двух NPM-пакетах — noblox.js-proxy и noblox.js-proxies. Злоумышленники воспользовались известным способом, когда написание слова очень близко к написанию известных названий, в данном случае — пакета Noblox.js.proxied. Или так называемый тайпсквоттинг, когда злоумышленник или просто ловкий делец пользуется ошибками в написании, при которых не сразу заметна ошибка, и пользователь считает легитимным написание того или иного названия, в данном случае API обертку для Roblox под названием noblox.js-proxied.

Разработчик представил утилиту, решающую проблему «путаницы манифестов» в NPM. На прошлой неделе стало известно, что злоумышленники могут прятать вредоносный код в зависимостях пакетов.

GitHub выявил небольшую кампанию социальной инженерии, нацеленную на личные учётные записи сотрудников технологических фирм. В ходе этой кампании не было скомпрометировано ни одной системы GitHub или npm, заявляет платформа.

GitHub к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию (2FA) в качестве дополнительной меры защиты своих учётных записей.

Компании Checkmarx и Illustria провели исследование, которое показало, что в репозиториях программного обеспечения с открытым исходным кодом присутствует множество вредоносных пакетов. В экосистемах NuGet, NPM и PyPi выявили более 144 тысяч таких пакетов.