Та от знову

Вчора розробники TanStack повідомили, що невідомі зловмисники здійснили атаку на ланцюг постачання та скомпрометували одразу 42 пакети екосистеми, випустивши 84 шкідливі версії.

Дослідники виявили, що зловмисники не зламували особисті акаунти розробників, а використали ланцюжок вразливостей в архітектурі GitHub Actions, щоб безпосередньо опублікувати заражені версії прямо в реєстр npm.

Якщо ви встановлювали будь-які пакети з родини @tanstack/* вчора (зверніть увагу, що пакети query, table, form, virtual та store підтверджено залишилися чистими), вам потрібно перевіритися.

Будь-який хост або CI-сервер, де відбулося встановлення в цей день, апріорі вважається скомпрометованим. Вам необхідно замінити всі локальні ключі, SSH-сертифікати, хмарні токени та доступи до баз даних, які можна було дістати з вашого пристрою.

https://dou.ua/forums/topic/59443/

За 18 годин до атаки хтось із поштою nrwise@proton.me публікує пакет plain-crypto-js@4.2.0. Це була копія легітимної бібліотеки crypto-js.

30 березня 2026 року о 23:59 UTC публікується шкідлива версія plain-crypto-js@4.2.1. Автором вказано jasonsaayman.

У найближчі 39 хвилин хакери публікують axios@1.14.1 та axios@0.30.4, єдина зміна в яких — це додавання цієї шкідливої залежності.

Будь-який проєкт, у якому стояли не суворі залежності (наприклад, ^1.14.0 або ^0.30.0), автоматично підтягнув би вірус при наступному npm install.

Якщо ви використовуєте Axios, про всяк випадок, перевірте свої проєкти.

Шукайте у своїх залежностях та lock-файлах:
axios@1.14.1
axios@0.30.4
plain-crypto-js@4.2.1

Простого видалення зараженого пакета не буде достатньо. Якщо шкідливий скрипт встиг виконатися, то вам необхідно вважати всі локальні ключі, сертифікати та доступи скомпрометованими і відкликати їх та перевипустити.

https://dou.ua/forums/topic/58693/

Google пидорнул всех ноускриптеров. Теперь гуглопоиск без javascript работать не будет.
https://techcrunch.com/2025...t-for-google-search/

Попробовала document.querySelectorAll(), очень понравилось, буду пробовать ещё.

Приехали, софт для IoT пишут на тайпскрипте.

balenaSupervisor is balena's on-device agent, responsible for monitoring and applying changes to an IoT device.

наваял юзерскрипт https://greasyfork.org/ru/s...ess-timecounter/code для АлиЭкспресса, чтоб не высчитывать с калькулятором, сколько времени прошло между этапами доставки покупок, ради знания, кому пора выдать своевременный подпопник. на скрине: скрипт дорисовывает жирные тексты, вверху чёрным отмечена длительность текущего этапа, и на каждую полную неделю приходится один знак "!"

как обычно, горячие клавиши оxyzнны
#zyzgk

Слил вместе два старых скрипта, на подкраску себя в комментариях и на автопролистывание накопленных постов в recent. Ещё добавил горячие клавиши на кнопку формы нового поста и там на кнопки сохранения и отмены , соответственно W (от write), S (save) и 0 (подальше от остальных кнопок и на две руки, ибо опытный уже)

https://greasyfork.org/ru/s...oint-im-scripts/code

Как ни придёт новый проект на ноде, так вечно он просто так тебе не сконфигурится, то версия ноды ему не так, то зависимость какая-то не прописана, теперь вот

npm Maximum call stack size exceeded

И даже принудительно

node --stack-size=2000 /usr/local/lib/node_modules/npm/bin/npm-cli.js install

не помогает.

Наверняка в зависимостях какая-то хуита прописана.

Однако с GreasyFork я что-то решил внезапно слинять на GitHub. Не специальный ресурс для скриптов, конечно, но, кажется, мне на старом месте не хватает папочной структуры. Обожаю раскладывать по папкам. Оформил всё по фэншую: скрипты для импортирования комиксов в одной папке, скрипты для расширения функционала - в другой. Ещё парочку не публикую - одним только я могу пользоваться, для админской настройки, а второй слишком серьёзен, чтоб попасть в лапки флудеров

https://greasyfork.org/ru/s...=28031&context=2&w=1 охренеть я за 5,5 лет вырос. скрипт крохотный, но весьма наглядный. разбивка кода, разреживание, более быстрые операнды, проверка данных, отшибание лишнего в процессе обработки. в консоли - тишина, никаких нуллов
ну и стиль выделения поменял, так как серый фон - это вырвиглазно. минимализм - средней яркости двухпиксельная пунктирная граница и всё

обоже, что это за розовый ужас на яндексмузыке

https://greasyfork.org/ru/s...-yandex-music-depink дзержите деровозатор, братья

Во всем виноват Билл Гейтс:

new Date('2019-11-1').toString()
new Date('2019-11-01').toString()

Почитал про разные JS фреймворки и пришел к выводу, что как-то дофига всего и слишком переусложнено. Теперь буду всем рекомендовать использовать http://vanilla-js.com/

Жабу с гадюкой на земле я повенчал: запускаю Vue внутри контроллеров Angularjs

Теперь буду скидывать эту фотку, когда будут спрашивать с чего начать чтобы стать программистом.
Ps. Ну не кнута же с демидовичем скидывать.

Наткнулся на любопытный баг в винде. Если положить в корзину js-файл, выбрать его в корзине, а потом нажать из меню Manage вверху кнопку Empty Recycle Bin, винда почему-то решит что нам надо запустить этот файл и предложит выбрать программу. Винда 10. Может это у меня только так.

Гребенный яндекс-бровсер, не может запятую перед закрывающейся скобкой вызова.

Посоны есть проект на js с использованием npm и вебпака. Что обычно делают, если нужно немного исправить один из модулей npm.
Форкать и делать репу ради двух строк кода как-то не хочется. (Потом ещё забуду для чего эта репа и грохну ее.) А править прямо в сырцах node_module - это как-то совсем не правильно.
Как правильно сделать?

Таки передумал я уходить из интернета. Но торжественно клянусь завязать с программированием и прочим ковырянием в ПО. Потому что, как говорит доктор Курпатов, человек не может заниматься больше чем одним делом. Невозможно смену ковыряться в подшипниках, шестеренках, проводах и пускателях, а потом прийти домой и заняться js, css, html. Мозг протестует против такого и выкидывает всю тщательно заученную информацию. Да и бегал я уже по этой дорожке, и ядра перебирал, и LFS собирал и модули правил. А спроси меня сейчас по этой теме что. Темнота. Ну запилил я сайт, ну запилил расширение для лисы. Что толку, надо этим постоянно заниматься, хотя бы смежную профессию иметь. И фриланс тут не вариант, просто нет времени. Не будет меня заказчик ждать, пока я тут время найду, навыки обновлю. Будем просто дальше сношать дефолт систему мозга. Это просто. Может что-нибудь напишу. Давно не писал.