The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"  +/
Сообщение от opennews (??), 24-Июн-21, 12:21 
В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib,...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55384

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –1 +/
Сообщение от Аноним (1), 24-Июн-21, 12:21 
А это точно стоит отдельной новости?
Ответить | Правка | Наверх | Cообщить модератору

3. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +2 +/
Сообщение от OnTheEdgeemail (??), 24-Июн-21, 12:27 
она — мини
Ответить | Правка | Наверх | Cообщить модератору

15. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –3 +/
Сообщение от Аноним (15), 24-Июн-21, 13:16 
а надо - нано
Ответить | Правка | Наверх | Cообщить модератору

23. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +1 +/
Сообщение от OnTheEdgeemail (ok), 24-Июн-21, 14:19 
может мили/микро для начала? нано — отличный текстовый редактор, к слову
Ответить | Правка | Наверх | Cообщить модератору

25. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (25), 24-Июн-21, 14:47 
мили/микро это когда firefox выпускает обновления.
Ответить | Правка | Наверх | Cообщить модератору

50. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от adolfus (ok), 25-Июн-21, 16:51 
Стоит. Червяк -- самый небезопасный из интерпретируемых языков. Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек. Полная ассоциация с фавелами в Бразилии -- самострой и глобальная помойка. Ну и отступы еще добавляют адреналина...
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

51. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Stax (ok), 26-Июн-21, 15:19 
> Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек

Ну, это вы загнули. В npm все намного стремнее, и там такие истории были многократно.

Ответить | Правка | Наверх | Cообщить модератору

5. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +4 +/
Сообщение от Жироватт (ok), 24-Июн-21, 12:29 
Стоит. Пока по всем вот этим спидозным накопителям не нарисуют сайт-несайт, в реальном времени отражающий текущую ситуёвину с самим репо и найденными вредоносами.
С блекджеком, пионерками, архивом статистики по самым разным метаданным пакетов, возможностью отбора трендов и таймланов, возможностью отправки юзерского фидбека, полуавтоматической ловлей подозрительно подозрительных (очень большой коэффициент likely в названии с популярными пакетами, пакеты из китая, рекламных говноконторок, мелких говноконторок "РогаКопыта Ltd." и от недавно зарегистрированных нонеймов, пакеты с накруткой рейтинга и установок...) и подозрительно неподозрительных пакетов (резких обновлений с нехарактерным кодом, указания реальным кодером угона его акков с последующим блоком любых апдейтов его пакетов до аудита, и т.п.), с обновлениями индекса и веделениями "новых" пакетов, с рейтингами у каждого автоматом внесенного разраба и возможность автоматом смотреть диффы...ну, короче, полноценную систему управления репо с проверкой авторов на продажу аккаунтов.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

9. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от пох. (?), 24-Июн-21, 12:49 
> пакеты из китая

Не, ну вот китайцев-то ты за что? Марат явно не китаец.

Что-то мне подсказывает, что и не француз даже. Кем бы это он мог бы быть, действительно...

Ответить | Правка | Наверх | Cообщить модератору

12. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –1 +/
Сообщение от ryoken (ok), 24-Июн-21, 12:54 
А чо не так с Маратами? Где я долгое время жил (Башкирия) - вполне стандартное имя :D.
Ответить | Правка | Наверх | Cообщить модератору

13. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –1 +/
Сообщение от пох. (?), 24-Июн-21, 12:57 
Дык, я и говорю, причем бы тут китайцы... те свои трояны обычно не опенсорсят, а то что у них не трояны - все равно использовать не получается.

Ответить | Правка | Наверх | Cообщить модератору

34. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (34), 24-Июн-21, 16:24 
Сегодня очень много кода пишется китайцами. Нейронки, мобильные приложения, самые различные батарейки для всего. С точки зрения белого человека, у них часто стрёмный код, но, обычно, он работает, и адаптировать его вполне возможно в разумные сроки. Китайцы тут при том, что китайцы большие любители малвари и протрояненного вареза.
Ответить | Правка | Наверх | Cообщить модератору

28. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 15:34 
Угу. А есть края, где Аза - вполне обычное женское имя.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от ryoken (ok), 24-Июн-21, 15:53 
> Угу. А есть края, где Аза - вполне обычное женское имя.

Про женское - не слышал. Там это было сокращённое мужское, Азат :).

Ответить | Правка | Наверх | Cообщить модератору

38. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:06 
Ага, и такое попадалось.
Ответить | Правка | Наверх | Cообщить модератору

37. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от пох. (?), 24-Июн-21, 20:18 
Ну тыж не я)
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

8. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +5 +/
Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 12:41 
Учитывая специфику подготовки питонистов, им на трёхмесячных курсах могли и не рассказать, что такое в принципе может произойти. Поэтому есть риск, что обнаружение малвари в питонолибах останется незамеченными большей частью питонистов, что чревато проблемами для ни в чём не повинных мирных граждан. Так что лучше оповестить всех лишний раз.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –2 +/
Сообщение от пох. (?), 24-Июн-21, 12:52 
Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий на ходу что-то с шитхаба - все как у взрослых!

> что чревато проблемами для ни в чём не повинных мирных граждан.

а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если точно будут знать что он майнит.

Ответить | Правка | Наверх | Cообщить модератору

39. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:07 
Так это не ему, он м.б. вообще опеннет не читает.
Ответить | Правка | Наверх | Cообщить модератору

42. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от пох. (?), 25-Июн-21, 00:20 
> Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий
> на ходу что-то с шитхаба - все как у взрослых!
>> что чревато проблемами для ни в чём не повинных мирных граждан.
> а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени
> давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если
> точно будут знать что он майнит.

Заканчивай писать от моего имени, слышишь Марат

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –2 +/
Сообщение от пох. (?), 24-Июн-21, 12:53 
завидуй молча! У чувака пять тыщ майнеров. А тебе опять премию не дадут.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Жироватт (ok), 24-Июн-21, 12:24 
Никогда такого не было, и вдруг снова?
Ответить | Правка | Наверх | Cообщить модератору

4. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +1 +/
Сообщение от OnTheEdgeemail (??), 24-Июн-21, 12:29 
это скорее к npm-репозитарию, хотя один фиг, судя по всему
Ответить | Правка | Наверх | Cообщить модератору

16. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (-), 24-Июн-21, 13:27 
> это скорее к npm-репозитарию, хотя один фиг, судя по всему

Только вот незадача: на npm "услугах" зашлибают нехилую деньгу - в отличие от.  

Ответить | Правка | Наверх | Cообщить модератору

18. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –7 +/
Сообщение от Lex (??), 24-Июн-21, 13:40 
Дыры нашли в питоновских проектах, но, разумеется, "ты туда не смотри - ты на нпм смотри".
У последнего, кстати, и пакетов раз 8 больше
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (-), 24-Июн-21, 14:44 
>> Вредоносный код был размещён в библиотеке maratlib
> Дыры нашли в питоновских проектах,

Найди дыру в своей опе, которой ты читал новость ...

> но, разумеется, "ты туда не смотри - ты на нпм смотри".
> У последнего, кстати, и пакетов раз 8 больше

За первым, кстати, нет никакой PyPI Inc.
Но опеннетные "спецы", сравнивающие опу с пальцем, не переводятся.

Ответить | Правка | Наверх | Cообщить модератору

20. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +1 +/
Сообщение от Аноним (20), 24-Июн-21, 14:14 
При чем здесь npm? Это везде где есть пакетный менеджер.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (6), 24-Июн-21, 12:31 
Из заголовка сперва подумал что это общая сводка и сразу такой "что-то маловато"
Ответить | Правка | Наверх | Cообщить модератору

7. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +1 +/
Сообщение от Аноним (7), 24-Июн-21, 12:34 
> maratlib

Марат, поджигай!

Ответить | Правка | Наверх | Cообщить модератору

19. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"  +4 +/
Сообщение от eRIC (ok), 24-Июн-21, 13:45 
Marat Nedogimov беги
Ответить | Правка | Наверх | Cообщить модератору

21. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Tifereth (ok), 24-Июн-21, 14:15 
Ну и чему удивляться?

В Пипу кто хочешь может залить что угодно. Так что были такие заподлянки, есть и будут. С ходу и не вижу эффективного способа как-то помешать такому использованию. Так, чтобы Пипа при этом оставалась мало-мальски удобной для работы.

Ответить | Правка | Наверх | Cообщить модератору

26. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +3 +/
Сообщение от Аноним (26), 24-Июн-21, 15:04 
> С ходу и не вижу эффективного способа как-то помешать такому использованию.

Просто не использовать неизвестные библиотеки без ревью, в pypi не надо ничего менять для этого

Ответить | Правка | Наверх | Cообщить модератору

43. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Tifereth (ok), 25-Июн-21, 03:28 
Это как бы естественная гигиена (о которой, естественно, все забывают).

На мой взгляд, недобрый человек может действовать тоньше, и вредоносность может включаться не сразу, и обзор, на первый взгляд, ничего подозрительного не выдаст.

Ответить | Правка | Наверх | Cообщить модератору

46. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (46), 25-Июн-21, 12:45 
Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код. А ситуацию с Node.js представь там в Hello, world под тысячу зависимостей.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

48. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (48), 25-Июн-21, 14:11 
> Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код.

Это преувеличение, если библиотека популярная как например django или sqlalchemy то там и без нас полно ревьюверов и их зависимостей в том числе, как среди авторов библиотеки так и среди её пользователей. Речь идёт о редких и малопопулярных библиотеках которые вполне возможно что никто и не ревьювил.

> двумя землекопами

Это повод выбирать другие более распространённые библиотеки.

> А ситуацию с Node.js представь

Нет возможности ревьювить — значит просто не используем, я например не использую Node.js и из-за этого в том числе.

Сейчас кстати Go по этому же пути nodejs идёт, а там вообще бинарники скомпилированные, вот там будет очень весело :-)

Ответить | Правка | Наверх | Cообщить модератору

53. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Tifereth (ok), 28-Июн-21, 07:04 
В идеале - да.

В реальности могут быть зависимости между пакетами, и проверка может, внезапно, стать исследовательской работой. В особенности, если возникает зависимость от чего-то ранее неизвестного (а библиотека уже вовсю используется).

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

22. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Массоны Рептилоиды (?), 24-Июн-21, 14:15 
Марат ни в чём не виноват!
Ответить | Правка | Наверх | Cообщить модератору

27. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Sergey (??), 24-Июн-21, 15:13 
А разве с pypi не колеса ставят ?
Ответить | Правка | Наверх | Cообщить модератору

29. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от ТовМайор (?), 24-Июн-21, 15:42 
>marat
>aza
>майнинг

Такс щас посмотрим в секретном екселе сколько таких инклюзивных хацкеров.

Ответить | Правка | Наверх | Cообщить модератору

31. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  –2 +/
Сообщение от Аноним (34), 24-Июн-21, 16:02 
Мне каждый раз довольно стрёмно использовать анонимные нонейм батарейки от китайских друзей, поэтому я копирую код себе и не использую чужие бинари. К сожалению, не всё компилируется в принципе, скажем, у меня проблемы с компиляцией blis, tensorflow и pyppeteer.

Вот пример такого кода https://snyk.io/advisor/python/bing-translation-for-python (относительно хороший сервис, позволяющий быстро прикинуть, насколько та или иная батарейка вообще жива).

Ответить | Правка | Наверх | Cообщить модератору

32. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (34), 24-Июн-21, 16:05 
Тут написано, что не очень здоровый пакет, у меня он просто не компилируется https://snyk.io/advisor/python/blis
Ответить | Правка | Наверх | Cообщить модератору

33. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Аноним (34), 24-Июн-21, 16:13 
С другой стороны, селениум, 3 года не имеющий релизов (и который был всё вместе с phantomjs), там под 90 баллов (из гита конечно можно установить альфа-версию, если очень хочется, да ведь это не то).
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

36. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +1 +/
Сообщение от commiethebeastie (ok), 24-Июн-21, 19:28 
>Из setup.py загружался с GitHub и запускался bash-скрипт aza.sh, который в свою очередь загружал и запускал приложения для майнинга криптовалют Ubqminer или T-Rex.

Запускает sh из питона.

Адепты кали линукса добрались до реп.

Ответить | Правка | Наверх | Cообщить модератору

47. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от Ivan_83 (ok), 25-Июн-21, 13:43 
И остальные 100500 ещё не найдены :)
Ответить | Правка | Наверх | Cообщить модератору

49. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +1 +/
Сообщение от Аноним (49), 25-Июн-21, 14:17 
>marat
>azaza

Российские ребята, походу.

Ответить | Правка | Наверх | Cообщить модератору

52. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."  +/
Сообщение от remortemail (?), 27-Июн-21, 11:24 
Этническая преступность. Теперь еще и с татарским душком.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру