cwbe coordinatez:
101
63540
9280435
9282154
9282267
9282273
9282427
9282439

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::2
total children::1
show[ 2 | 3] flat
zasadny problem je ked secrety v gitignore nemas a dostanu sa do public repozitara alebo ako tu niekto narve secrety do clientside kodu ( https://kyberia.sk/id/9273340 )

Pokial viem, patient zero nie je znamy, ale, predpoklada sa ze bol infikovany prave cez leaknute npmjs secrety a ked sa do npm vypublishovala dana package a niekto zo supply chainu nemal pinnute verzie svohich dependencies tak to uz islo samo.

Ako sa tomu branit... nuz neviem. jedine asi cez security by obscurity.. spravna MFA - co asi znamena ze publish do npmjs repozitara len manualne nie automatom.

audit pouzivanych dependencies.. ale no tento problem je vsade. pri node je to vypuklejsie kedze na FE sa bez javascriptu nepohnes takze je jasne ze NodeJS ekosystem bude viac targetovany z podobnych dovodov preco je virusmi najviac targetovany WIN medzi OS.




000001010006354009280435092821540928226709282273092824270928243909282472
CARBON IN DISGUISE
 CARBON IN DISGUISE      17.12.2025 - 12:23:01 [1K] , level: 1, UP   NEW
hej presne!

personal (shamefull) story: vzdy som si vravel ze ludia su blbci ked toto urobia a minule som zapol https://aikido.dev a tiez som objavil v nejakom zapadnutom commite S3 admin secret :/ a teda uz som zistil, ze velakrat chyba, nie je pre zle .env alebo git config, ale proste nezpornost - u debugu niecoho odides na zachod, ked sa vratis testy bezia, all green ... Granularita S3 keys je tiez neprakticka, tak lahsi je debug s test admin klucom. Sranie sa s loadovanim env v nejakom random debug scripte - rychlejsie je ho tam placnut - ved iba na sekundu.

Release robim vzdy rucne, mam MFA, pouzivam uplne minimum deps, subory pred commitom prechadzam cez UI/gitu - akurat vtedy raz som nebol pozorny a prehliadol som nejaky kus suboru (este zakomentovany kod!) co bol len na testing/debug ... a dal som "git add ." a je to! Som si isty ze na niektorom projekte som uz takuto botu urobil a myslim ze github ma nenechal pushnut. Teraz som sa zabudol + asi spoliehal na ten nastroj, ktory medzicasom niekde zmizol(opt-out?) alebo sa zmenil default config?

Unpopular opinion, ale za vela % problemov (extra v dev/op-sec) je zly/neprakticky dizajn nastrojov pre lamy ako som ja.

- Npm/node/bun by uz davno mohli mat built-in izolaciu, automaticke cache deletion po utokoch, vypnute "npm config set ignore-scripts true --location=global" by default s whitelistom, nepovolit package release bez updatu a pin deps by default, enfrocovat 2FA
- Git a rozne uicka zase built-in scanners na detekciu secrets, alebo aspon triggr keywords. Motivovat ludi prechadzat pri stage zmeny jednu po druhej...

Avsak kontrolovat a prechadzat kod pri kazdej dependency sa mi zda nerealne. Hlavne malware moze byt obfuscated a strceny v strome niekde uplne hlboko. Dnes, ked ludia instaluju Claude Code s global pristupom na stroj sa malware transformuje na neviditelne glyphs v nejakom readme alebo favicone a si KO.

00000101000635400928043509282154092822670928227309282427092824390928247209282619
ulkas
 ulkas      17.12.2025 - 23:01:49 , level: 2, UP   NEW
repozitare by na toto mali uz mat hooky porobene. aspon tento rok na mna zacal github bliakat, ked commitujem cokolvek co sa podoba na secrety, hoc len do komentara alebo v ramci testov