The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от opennews (??), 04-Дек-19, 10:17 
В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и  маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов, на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время, проблемные пакеты уже удалены из каталога PyPI...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51975

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от z (??), 04-Дек-19, 10:17 
жадность фраера сгубила
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –2 +/
Сообщение от пох. (?), 04-Дек-19, 10:30 
да, а ведь шел пацанчик к успеху.
Впрочем, глядя на свой сервер, где dateutil есть, а желефиши никакой нет - если сам от себя зависимость не поставишь, никто о тебе не позаботится.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –10 +/
Сообщение от Анонимчик (?), 04-Дек-19, 10:25 
День через день новости о уязвимостях и вредоносах... Сейчас говорят во фряхе сделали или делают  возможность грузится с защитой какой-то в уефи, а то я так и не осилил.Надо валить с линукса. Параноиком уже стал черт побери.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +5 +/
Сообщение от Аноним (6), 04-Дек-19, 10:30 
Ты совсем поехавший? Каким боком тут линукс? Лично я чувствую себя куда спокойнее, когда дыры находят и исправляют, чем когда дыры это кого надо дыры, поэтому альтернатив линуксу просто нет. А npm тот же ещё большая помойка, поэтому можешь уже сейчас отказаться от использования браузеров и интернета.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 04-Дек-19, 10:31 
да-а-а, поравалить, на б-жественной-то десяточке искать "ssh и pgp ключи" (да еще не в пуссином формате, небось) занятие почти безнадежное.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +3 +/
Сообщение от Аноним (6), 04-Дек-19, 10:35 
>на б-жественной-то десяточке искать "ssh и pgp ключи"

Большинство компрометаций инфраструктур так и происходит, внезапно. Понятно, что вендузятников наду сразу гнать ссаными тряпками, но где ты найдёшь столько работников с линуксом?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от fooser (?), 04-Дек-19, 10:51 
тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже надо гнать ссаными тряпками.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Аноним (6), 04-Дек-19, 11:07 
> тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже
> надо гнать ссаными тряпками.

С остальными юникс-подобными системами ты можешь рассчитывать лишь на эффект неуловимого джо, это не то. Ну если не считать яблочную продукцию - у неё проприетарная природа и у неё полно червей и дыр, так что не лучше венды.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –6 +/
Сообщение от fooser (?), 04-Дек-19, 11:11 
как будто у линукса нету червей и дыр, хотя речь не о макоси.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

46. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –4 +/
Сообщение от Аноним (-), 04-Дек-19, 18:01 
> как будто у линукса нету червей и дыр, хотя речь не о макоси.

ты аккуратнее с такими заявами, тут слишком нежные линуксоиды сидят, накидают минусов только так
прошло то время, когда винда была более большим peшeтoм чем линукс, сейчас эко система линукс-дистрибов (ядро, сервисы, сетевые службы, днс, почтари) по багам просто бьёт все рекорды

на основе вот этой вот баги вообще ужас был

https://www.opennet.dev/opennews/art.shtml?num=50870

до сих пор кое-где эта дырка эксплуатируется и майнится криптовалютка на серверах дебиана, убунту, сусей, рхелов/центосей.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

47. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –7 +/
Сообщение от Аноним (-), 04-Дек-19, 18:12 
А вот такое вообще так каждый день пачками прилетает
15 уязвимостей в USB-драйверах, поставляемых в ядре Linux

https://www.opennet.dev/opennews/art.shtml?num=51974

Ни в одной винде такого ада не было.

> Андрей Коновалов из компании Google опубликовал отчёт
> о выявлении очередных 15 уязвимостей
> ранее данный исследователь уже сообщал о наличии
> 29 уязвимостей.

15, 29... До этого ещё вродь один испанец штук 20 накопал. Адок прост... да, я понимаю, открытые исходники, все дела, но господи, какой же сырой код внутрях линукса повсеместно...

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

54. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Michael Shigorinemail (ok), 04-Дек-19, 19:47 
> прошло то время, когда винда была более большим peшeтoм чем линукс

Примерно тогда же, когда некрософт перешёл на кумулятивные обновления? ;-)

Эх, чайники.  Даже набрасывать не умеют.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

58. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (58), 04-Дек-19, 20:07 
> прошло то время, когда винда была более большим peшeтoм чем линукс

Голословное утверждение

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

14. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (6), 04-Дек-19, 11:08 
Хотя есть ещё эффект "нет железа нет проблем", в какой-то мере то тоже работает, конечно.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 04-Дек-19, 11:37 
тогда нашей инфраструктуре ничего точно не грозит - тут по всем виндам хоть обыщись - ни pgp ни ssh ключей не найдешь. А найдешь так владелец не поймет, что это и от чего. Разьве что у меня пара, и те не в том формате и не в том месте, где эти чудо-скрипты их будут искать.

Правда, на линуксном сервере их десяток, и примерно от всего, и как раз там где все их и ищут, но это ж линукс, это ж надежно!
(ой, а што ета за pyhton3-dateutil? Наверное, нужное что-та, не буду удалять!)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Урри (?), 04-Дек-19, 12:42 
Специально для тебя есть еще десяток пока не обнаруженных пакетов (желефиш год лежал необнаруженным), которые сливают твои виндузятные пароли, кои лежат в почти полностью открытом виде.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Anonymoustus (ok), 04-Дек-19, 15:23 
И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому что ты крутой всемирно известный специалист по безопастносте, а все остальные — лохи.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 04-Дек-19, 15:34 
> И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому

гад. Потому что я теперь сам не знаю где они лежат - поменял, называетцо, монитор.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

59. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Урри (?), 04-Дек-19, 20:09 
Ты этим хотел сказать, что желефиш был последним необнаруженным трояном?
Золотые рыбки наконец научились прямоходячести?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

71. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 05-Дек-19, 11:58 
он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не написанные никаких виндовых паролей у нас не сольют. Потому что вовсе не так легко это сделать, как тебе мечтается.

А ваши "гепеге и эсэсхехе" - ну да, разумеется, еще не раз.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

11. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Аноним (11), 04-Дек-19, 10:56 
Полон опасностей мирок скриптоязычков.

The Central Repository таких проблем не имеет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –2 +/
Сообщение от SomeBody (??), 04-Дек-19, 12:09 
При чем тут скриптовые языки? В этом вашем расте пилиш любую дичь в build.rs и готово.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –2 +/
Сообщение от Аноним (11), 04-Дек-19, 13:41 
ты не понял, пацанчик. Именно в скриптоязычках особую популярность имеют постмодерируемые скрипто-репозиторьчики со всякими майнерчиками. В серьезных взрослых платформах такого не наблюдаем.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +5 +/
Сообщение от Аноним (45), 04-Дек-19, 17:48 
пацанчик, скриптоязычки ли это или нет, но любые репки и каталоги могут пострадать

> такого не наблюдаем

Malware has been discovered in at least three Arch Linux packages available on AUR (Arch User Repository), the official Arch Linux repository of user-submitted packages.

https://www.bleepingcomputer.com/news/security/malware-found.../

вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -

https://threatpost.com/backdoor-found-in-utility-for-linux/1.../

рекомендую обратить внимание на шок-контент: "nearly a year before its discovery."

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

72. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 05-Дек-19, 12:05 
> вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -

при всем моем уважении к вебмину, действительно решающему иногда очень актуальную задачу - ничуть не опаснее именно в силу неуловимости джо - во-первых, как обычно, требовалось немного помочь олбанскому вирусу, включив уникально-редко используемую (используемую ли кем-либо в мире вообще?) фичу, во-вторых, следовало быть не только любителем веб-администрежа, но еще и неимоверно отважным, открыв доступ к фиче и самому вебмину всем желающим.

Лично я не могу похвастаться подобными конфигурациями, как-то ни одной за всю жизнь не держал.

А dateutil - опачки, вот он. Ну да, я его поставил из репо дистрибутива, разумеется, правильный, но это ж мне просто повезло с немодным-несовременным скриптом, не умеющим втянуть полсотни автозависимостей при установке. А майнтейнеру повезло когда-то что он мышкой не скопипастил - неправильный, но очень похожий.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +3 +/
Сообщение от SomeBody (??), 04-Дек-19, 19:00 
Не, пацанчик, этот ты не всосал в чем суть.

В этих ваших растах все тащится с crates.io, каждая минимальная поделка тащит за собой пяток-десяток зависимостей. Так что кукарекать про особенные уязвимости в скриптовых языках иди в свой курятник.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

62. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (58), 04-Дек-19, 20:12 
> The Central Repository таких проблем не имеет.

Настолько не имеет что там даже отдельная ссылка прямо на главной: Report A Vulnerability

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

67. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (11), 05-Дек-19, 00:51 
ты отличаешь уязвимость от целенаправленной публикации бэкдорчиков-майнеров в скрипто-репозиторьчики типа пипи и инпиэм? Приведи хотя бы один задокументированный случай целенаправленной публикации бэкдора в благословенном The Central Repository. В пипи и инпиэм такое случается постоянно.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

12. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –1 +/
Сообщение от Rodegast (ok), 04-Дек-19, 11:06 
> В настоящее время, проблемные пакеты уже удалены из каталога PyPI.

Блин!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Аноним (15), 04-Дек-19, 11:11 
А всё просто. Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.

И ответственность описать. На первый раз можно руку отрубить например.

Не решаются дыры в организации на техническом уровне.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от рлла (?), 04-Дек-19, 12:44 
Ты на таких условиях готов пакеты размещать?
Замененные буковки дак ИИ вполне может искать и выдавать список. да можно и скрипт наваять
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –1 +/
Сообщение от Аноним (15), 04-Дек-19, 15:44 
Да, а иначе зачем предлагать?

Заигрались в анонимусов в этих ваших интернетах, отсюда и все проблемы.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

56. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +3 +/
Сообщение от Michael Shigorinemail (ok), 04-Дек-19, 19:49 
Нуу для начала зарегистрируйтесь на опеннете, из плюшек -- возможность правки своих комментариев в течение получаса, что ли, после отправки.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

26. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (26), 04-Дек-19, 12:55 
> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.

А где права Анонимуса?

Такие подставы должны вычисляется автоматически и уведомлять модераторов, администраторов.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

44. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (15), 04-Дек-19, 15:45 
> А где права Анонимуса?

У анонимуса нет никаких прав. Потому что права всегда идут в пакете с ответственностью. А коли анонимус ответственность нести не желает, какие ему права?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

60. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Урри (?), 04-Дек-19, 20:10 
Во всеобщей декларации прав человека не написано "предоставляются только при предьявлении паспорта".

Совсем уже опеннет оглупел.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

65. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (65), 04-Дек-19, 23:44 
> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.

Как в Debian, что ли?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (17), 04-Дек-19, 11:35 
Всего лишь две?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 04-Дек-19, 15:44 
> Всего лишь две?

дальше - сами ищите. Тому кто нашел - осточертело.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –1 +/
Сообщение от JL2001 (ok), 04-Дек-19, 11:49 
не, юзера от программ, установленных из репозитория, защищать не надо! там же мантейнеры!! всё надёжно! цифровые подписи на пакетах!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (21), 04-Дек-19, 12:32 
Это не репозиторий, а помойка.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Аноним (30), 04-Дек-19, 13:34 
Между этими понятиями нет противопоставления. Учинение в репозитории помойки не лишает последний возможности называться репозиторием.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

63. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (58), 04-Дек-19, 20:22 
Зачем писать мусор? У разных репозиториев — разные правила, это очевидно.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +3 +/
Сообщение от Аноним (22), 04-Дек-19, 12:37 
Вспомнити Leftpad!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +4 +/
Сообщение от Аноним (30), 04-Дек-19, 12:43 
Любые постмодерируемые пользовательские репозитории, будь то npm, aur, pypi, amo, googleplay, crates.io и т.п. имеют подобные проблемы, следует по возможности их избегать и использовать репозитории с премодерацией, либо вообще с добавлением пакетов исключительно командой мэйнтейнеров, как сделано в большинстве дистрибутивов linux и bsd.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (30), 04-Дек-19, 13:41 
Беда в том, что некоторые модные build-системы обращаются к пользовательским репозиториям и качают из них зависимости безальтернативно, по сути лишая разработчиков возможности огородиться от потенциально творящегося там беспредела. А для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

66. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (65), 04-Дек-19, 23:47 
> для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.

Как раз в дистрибутивных репозиториях такого ада нет. Там ничего не выкачивается со стороны при сборке.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

68. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (30), 05-Дек-19, 02:23 
Именно: перед мэйнтейнерами репозиториев дистрибутивов стоит задача обеспечить автономную сборку софта. В то время как используемая софтом на rust build-система, cargo, в доску сетевая и в принципе не имеет ключей для сборки без обращений к своему репозиторию. Вот как пакетировать такой софт? Патчить cargo для отрезания сетевой активности и совать ему архивы?
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

76. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от SomeBody (??), 06-Дек-19, 19:08 
Шел бы ты лучше мешки ворочать

https://doc.rust-lang.org/cargo/reference/source-replacement...

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

27. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –2 +/
Сообщение от Аноним (27), 04-Дек-19, 13:00 
Короче на линукс нужен антивирус от таких пакетов. Кто нафигачит по быстренькому на баше?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (27), 04-Дек-19, 13:01 
Даю бизнес идею сначала добавляешь такие пакеты в репу а потом сам с ними борешься антивирусом.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от пох. (?), 04-Дек-19, 15:35 
> Даю бизнес идею сначала добавляешь такие пакеты в репу

уже без вас все добавили. Осталось побороть.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Урри (?), 04-Дек-19, 13:27 
ты уже придумал нейросеть, которая сможет анализировать пакеты как человек?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

55. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (55), 04-Дек-19, 19:48 
Да, придумал. Берём человека, и получаем естественную нейросеть, анализирующую пакеты как человек.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

61. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Урри (?), 04-Дек-19, 20:12 
А платить ему чем, бананами?
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

73. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 05-Дек-19, 12:11 
рупиями. Ишь, макака, бананов хочет. Банан я и сам съесть могу. А так - поработает недельку, заработает на тарелку далбата, может быть.

Почем они там капчу разгадывают - доллар за сотню, или уже дешевле?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

34. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от user90 (?), 04-Дек-19, 15:22 
Чо, и никто даже не скажет "А вот в CPAN такого не было"??
Ну и да, приятная новость, одних петон-скрипт-кидди поимели другие, эх!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –2 +/
Сообщение от Anonymoustus (ok), 04-Дек-19, 15:25 
Оставь, не лезут своими корявками в б-жественный Перл — и хорошо.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от user90 (?), 04-Дек-19, 15:31 
Но я реально не помню подобных случаев, может быть кто-то знает больше?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 04-Дек-19, 15:43 
> Чо, и никто даже не скажет "А вот в CPAN такого не
> было"??

да как-то неинтересно, видимо, тогда было. А может и было - не нашли, потому что никто отродясь и не искал.

Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

49. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Anonymoustus (ok), 04-Дек-19, 18:32 
> Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.

Как писал великий мудрец древности Брукс, на каждой вахте должен сидеть специально обученный вахтёр с бейджиком.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

57. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Michael Shigorinemail (ok), 04-Дек-19, 19:51 
И эти люди будут возмущаться судьбой иных какамментов на публичных форумах... :)
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

43. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (43), 04-Дек-19, 15:44 
> Чо, и никто даже не скажет "А вот в CPAN такого не было"??

Есть, только никто ещё не нашёл из-за особенностей синтаксиса

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (48), 04-Дек-19, 18:16 
Что и следует ожидать от немодерируемой помойки. Поэтому использую питоновые пакеты только из родного репозитория дистрибуива.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +2 +/
Сообщение от Аноним (50), 04-Дек-19, 18:47 
На родное репо надежды, конечно, побольше.
Но кто сказал, что там мейнтейнеры прям внимательно погладявают, а не просто бампают циферку?
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –2 +/
Сообщение от Аноним (55), 04-Дек-19, 19:46 
В некоторых проектах просто жопа. Захотел я как-то (больше года назад) собрать OpenWRT. И отложил кучу - часть зависимостей качается по небезопасному каналу - FTP. И не проверяется подпись/хеш.

Мораль:
1. не собирайте OpenWRT и не используйте эту поделку. Если кого-то из-за этого заразили малварью, внедрив её в незашифрованный канал, то вина тут в том числе проекта OpenWRT.
2. нужен строгий запрет всех сайтов без  TLS в браузерах, чтобы добить эту заразу, когда они хостят без TLS, а другие - качают это и выполняют.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

64. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (58), 04-Дек-19, 20:27 
Никто не сказал, просто там у них есть такая возможность, а тут — нет.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  –1 +/
Сообщение от Аноним (55), 04-Дек-19, 19:38 
"python3-dateutil" - это в конвенции по именованию дебиана такие имена. Злоумышленник видимо репозиторием ошибся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от пох. (?), 05-Дек-19, 12:13 
он не ошибся, он как раз надеялся что дебианолюбители по инерции именно такое имя и наберут, или просто найдут поиском и не заметят ничего необычного.

Спалили, гады :-(

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

69. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Корец (?), 05-Дек-19, 07:33 
>"I" (i) вместо "l" (L)

Тут всё упирается в шрифты. В тексте статьи у меня I и l выглядят одинаково, зато в поле ввода(где я писал этот комментарий) и в терминале эти буквы отличаются(I выглядит как положено). Так что можно сказать, что это "уязвимость" в шрифтах.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +/
Сообщение от Аноним (70), 05-Дек-19, 09:21 
Привязывайте пакеты не к pip, а г гит-репозиториям.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."  +1 +/
Сообщение от Аноним (75), 06-Дек-19, 00:22 
сам создал, сам разоблачил, и статей настрочил. Прям неуловимый Джо.

непонятные либы с кривыми именами которые фиг случайно напечатаеш и фиг где найдеш если не по прямой ссылке.

1) в гугле их нету, толко ссылки на сплашные разоблачения.

2) а хакер скромяга. jellyfish 1к звезд, популярность либы выше крыши, целый год ночами не спал думал что же выбрать дальше.

3) тайпсквоттинга - нуда - случайно набил вместо l  sift+i , это болезнь паркинсона такая?
python3-dateutil - а тут python3 тоже случайно?

4) "данные для проектов PyCharm", WTF? что бы что? не ну серьезно
у человека полный доступ к компу а он не рута брутит а настройки папок тащит?
ну а че все в семью

это ж где такие ССЗБ водяться чтобы такие опечатки делать.
помойму очевидно - британские ученые осваивют питон.

вот если бы этих исследователей
"было размещено 214 подставных пакетов"
https://www.opennet.dev/opennews/art.shtml?num=44576
во время эксперемента - разоблочил их колега по цеху - то была бы группа хакеров а не исследователей.

а согласитесь, ведь неплохой ведь способ попиариться?
(тему хакинга пока еще не обсосали ифо/крипто цигане)

в общем бред сивой кобылы - ждем продолжение украл урку 2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру