Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код"	+/–
Сообщение от opennews (?), 28-Апр-26, 23:28
Компания Elementary Data сообщила о компрометации рабочих процессов GitHub Actions, в результате которой атакующие смогли опубликовать в каталоге PyPI и в GitHub-репозитории выпуск пакета elementary-data 0.23.3, в который был внедрён вредоносный код для кражи конфиденциальной информации с систем пользователей. Вредоносный выпуск также был включён в состав официального Docker-образа проекта. В прошлом месяце пакет elementary-data был загружен из репозитория PyPI  более 1.1 млн раз... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65313
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Tron is Whistling (?), 28-Апр-26, 23:28	+1 +/–
Самое главное - люди не пострадали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 28-Апр-26, 23:41	+1 +/–
Никогда такого не был0, и вот 0пять!
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 29-Апр-26, 00:31	+/–
Итишники не люди?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

4. Сообщение от Аноним (4), 29-Апр-26, 00:37	+5 +/–
Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

5. Сообщение от Сладкая булочка (?), 29-Апр-26, 00:37	+1 +/–
Классика...
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Сладкая булочка (?), 29-Апр-26, 00:38	+10 +/–
Иишники не люди, должны страдать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

7. Сообщение от Аноним (7), 29-Апр-26, 00:40	+/–
>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). А есть возможность скачать заражённые выпуски спустя какое-то время после обнаружения?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

11. Сообщение от Аноним (3), 29-Апр-26, 04:47	+5 +/–
Вас... кхм... Автоматизировали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #63

12. Сообщение от Аноним (3), 29-Апр-26, 04:49	–3 +/–
Это то, что следует рассмотреть, когда на гит с винраров перейдете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #20, #40, #79

13. Сообщение от Аноним (13), 29-Апр-26, 05:10	+5 +/–
Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #58

14. Сообщение от Аноним (3), 29-Апр-26, 05:48	+/–
> Могли бы не мелочиться и поставить полный доступ Никто и не мелочился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от ИмяХ (ok), 29-Апр-26, 05:56	+7 +/–
>>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker. Если это у пользователей скачивает корпорация, то оно законно и называется "телеметрия", а если это скачивает левый чел, то это незаконно и называется "конфиденциальные данные"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

18. Сообщение от Аноним (18), 29-Апр-26, 06:39	+4 +/–
Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

20. Сообщение от Аноним (20), 29-Апр-26, 07:28	+3 +/–
Уж лучше винрары и каменты "// Дата. ФИО", чем пользоваться гитхабом в целом и его экшонами в частности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #57

21. Сообщение от Аноним (21), 29-Апр-26, 07:30	–7 +/–
Популярность питона и прочей скриптоты - это прямое следствие убогости Си и неадекватности Си++ и их доминирования в системном программировании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #26, #33, #44, #62

23. Сообщение от Аноним (20), 29-Апр-26, 07:31	–2 +/–
Юридически можно добавить описание в релиз или в какой-либо файл, мол "используя данный пакет вы даёте разрешение на сбор информации" Тысяча глаз не увидит, какой-нить реновейт затянет, вот уже как бы и незаконный сбор получается законным
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

26. Сообщение от Аноним (26), 29-Апр-26, 08:10	+/–
Предположим. А что, из всего многообразия языков программирования так и не нашлось более-менее адекватного? Или это и есть Питон - лучшее из худшего? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #37

27. Сообщение от Аноним (27), 29-Апр-26, 08:27	+3 +/–
Ленивым разарбам влом самим скомпилить себе проджект и залить сразу бинарник? Ну вот и страдайте.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноним (31), 29-Апр-26, 08:48	+/–
Не нужен он учёным. Учёные пусть на Julia сидят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #76

33. Сообщение от Аноним (33), 29-Апр-26, 09:22	+3 +/–
>  убогости ... и неадекватности ... и ... доминирования У меня логический диссонанс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #66

34. Сообщение от INSANEWAVE (ok), 29-Апр-26, 09:34	+2 +/–
Я чёт не понимаю, а почему у нас до сих пор такой кринж происходит? Может уже обратят на это внимание на убогость защиты или червей недостаточно было?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36, #38, #39, #59

35. Сообщение от Аноним (35), 29-Апр-26, 09:36	+5 +/–
используйте secrets говорили они эти данные не доступны приложениям в CI/CD говорили они ...
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (26), 29-Апр-26, 09:37	+/–
Если я правильно понял, была проэксплуатирована дыра в обработчике GitHub Action, который есть скрипт, который создаёт владелец репы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от Василий Пупкин (?), 29-Апр-26, 09:56	+/–
Раст как следствие наблюдаемо набирает обороты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #70

38. Сообщение от Аноним (38), 29-Апр-26, 10:12	+1 +/–
Давно пора уже запилить изоляцию хотя бы на уровне virtual environments, чтобы всякое сидело в своём лепрозории, а до тех пор есть несколько простых правил: а) стараться не ставить самые свежие пакеты, а лучше указывать конкретную проверенную версию, и б) стараться по возможности не ставить пакеты с большим количеством зависимостей, чем меньше их - тем лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42, #45

39. Сообщение от Аноним (39), 29-Апр-26, 10:24	+/–
Инструменты для защиты есть. Просто софта слишком много и дыры находят в самых разных частях. Так теперь ещё и ИИ массово сканирует вообще всё подряд. Гонка вооружений ускорилась, и пока что Red Team имеет преимущество. Больше инфраструктура - больше поверхность атаки, больше затрат на защиту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

40. Сообщение от Admino (ok), 29-Апр-26, 10:27	+2 +/–
Судя по новостям, нам безопасники не дадут на него перейти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #61

41. Сообщение от Соль земли2 (?), 29-Апр-26, 10:42	+1 +/–
Какой-то ИИ мусор взломали. Тоже мне новость.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

42. Сообщение от INSANEWAVE (ok), 29-Апр-26, 10:53	+/–
Ну это конечно да, правильно. Лично я так и делаю, правда насчёт малозависимых пакетов сложно и муторно. С другой стороны - когда у тебя пк изолирован и не используется для финансовых операций то ок
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

44. Сообщение от Аноним (44), 29-Апр-26, 11:03	–2 +/–
> Популярность питона и прочей скриптоты - это прямое следствие убогости и неадекватности по-быстрому-вкатившихся-в-айти и их неспособности научиться кодить на Си и Си++, которые доминируют в системном программировании. Не благодари.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #46

45. Сообщение от Аноним (44), 29-Апр-26, 11:12	+2 +/–
Ну, какбэ, вменяемые люди так и делают, ставят в списке зависимостей ссылку на конкретный релиз либы и хэш тарбола для проверки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

46. Сообщение от Аноним (7), 29-Апр-26, 11:17	+/–
>и их неспособности научиться кодить на Си и Си++ На си никто не способен научится кодить. https://www.opennet.dev/opennews/art.shtml?num=64138 >Уязвимость проявляется с выпуска X11R6 (1994 год).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #64

47. Сообщение от Аноним (47), 29-Апр-26, 11:51	–2 +/–
> компрометации рабочих процессов GitHub Actions взломали гитхаб так-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #56, #69, #71

48. Сообщение от Джон Титор (ok), 29-Апр-26, 11:51	+2 +/–
Мне кажется к информации о пакетах нужно добавлять историю типа Vulenrability History. Чтобы хотя-бы под каждой версией понимать что к чему. Оно всё-равно уже автоматизировано. Люди которые используют хоть будут понимать - возможен инцидент или нет. А то что они где-то в новостях это опубликовали, которые не все и прочитают, и вы вряд-ли эти новости найдёте пока уже не столкнетесь с инцидентом как-то почти бессмысленно.
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Аноним (53), 29-Апр-26, 12:12	+/–
Храните свои токены и пароли в переменных среды, говорили они. Это безопасно, говорили они. Так я и не понял чем оно безопаснее. На файлы хотя бы права есть. А переменные кто хочешь может читать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

54. Сообщение от Аноним (53), 29-Апр-26, 12:13	+/–
UPD написал на эмоциях не прочитав комменты. Выше уже это же самое подметили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #74

56. Сообщение от Аноним (56), 29-Апр-26, 12:39	+/–
ну да. ии мусор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

57. Сообщение от Аноним (57), 29-Апр-26, 12:48	+1 +/–
Да лучше на счётах считать, что уж там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

58. Сообщение от Аноним 9000 (?), 29-Апр-26, 12:51	+/–
На самом деле в гитхаб совершенно упоротая система с Action. Никаких secure defaults и безопасно это настроить достаточно сложно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #65

59. Сообщение от Аноним (59), 29-Апр-26, 13:27	+/–
> Я чёт не понимаю, Ты так ничего и не понял ? (с) Доктор Зло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

61. Сообщение от Анонимус11 (?), 29-Апр-26, 16:37	+/–
А интернет провести они вам позволили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #77, #82

62. Сообщение от Аноним83 (?), 29-Апр-26, 16:48	+/–
Дело не в языках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

63. Сообщение от Сладкая булочка (?), 29-Апр-26, 16:56	+2 +/–
> Вас... кхм... Автоматизировали? Ой, не надо только вот эту ерунду тут нести. Уже поди взял компилятор ССС и все им пересобрал, автоматизатор? Вы ни на что не способны, создатели нейрослопа. Просто сидите на готовых либах и сверху генерите хлам, при это строя из себя не пойми кого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

64. Сообщение от Аноним (64), 29-Апр-26, 17:08	+/–
Кинь ссылку на реальные факты эксплуатации. С 94 года, небось, огого сколько набралось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #68

65. Сообщение от Аноним (65), 29-Апр-26, 17:57	–1 +/–
Там прямым текстом надо писать "read" или "write". Я не знаю, как сделать ещё проще, чтобы вам перестало быть "достаточно сложно", и вы перестали путать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #73

66. Сообщение от Аноним (65), 29-Апр-26, 18:00	+/–
Альтернатив не было, никто особо не знал как нужно и как можно. Как разобрались, стали пытаться что-то делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #67

67. Сообщение от Аноним (7), 29-Апр-26, 19:16	+/–
>Альтернатив не было Как удобно говорить именно это. Прямо сейчас есть далеко не самая лучшая альтернатива, однако довольно распиаренная. И что? На неё совершают кучу нападок. Лично мне известно о существовании cyclone (2001), а так же ats(2006). Как всегда, местные ыксперты сделают вид, что слышат о них впервые. Прямо сейчас, существует язык, чья моедль памяти должна давать ещё больше чем rust, в плане утечек памяти. Разумеется, про него тем более никто ничего не слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

68. Сообщение от Аноним (7), 29-Апр-26, 19:21	+/–
Когда убьют, тогда и приходите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #72, #75

69. Сообщение от бочок (ok), 29-Апр-26, 19:57	+/–
Бери шире, взломали интернет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

70. Сообщение от Аноним (26), 29-Апр-26, 21:33	+/–
А что лучше, Раст или Питон? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

71. Сообщение от Аноним (26), 29-Апр-26, 21:36	+/–
>взломали гитхаб так-то Да не. Взломали скрипт владельцев репы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

72. Сообщение от Аноним (64), 29-Апр-26, 21:56	+/–
Камент как раз в тему новости. У изобличителей дыряшки перед носом реальный факт - грохнули репу на гитхабе. Причина - ошибка в логике вызова обработчика. В иксах с 1994 года висят в коде умозрительные уязвимости, для которых не то что фактов взлома не зарегистрировано, но даже внятного эксплойта не опубликовано - всё равно начинается приступ вялотекущей истерики про "убогость Си и неадекватность Си++".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

73. Сообщение от Аноним (73), 29-Апр-26, 22:06	+/–
Может стек не позволяет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

74. Сообщение от Tron is Whistling (?), 29-Апр-26, 23:15	+/–
Хосспаде, ну цыцд, девляпсинг, вот это всё. Первый залетевший дятел разрушит цивилизацию. Ещё древние писали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

75. Сообщение от Аноним (7), 29-Апр-26, 23:45	+/–
>У изобличителей дыряшки перед носом реальный факт Уязвимости не исключают друг друга, они суммируются. >но даже внятного эксплойта не опубликовано Зачем вам эксплоит? Лично мне более чем достаточно того факта, что сишные программы очень любят ломаться непредсказуемым образом, при этом стек вызова будет указывать не на реальную проблему, а в произвольное место. >вялотекущей истерики про "убогость Си и неадекватность Си++" Вот удивительно, си такой хороший, а как только его начинают применять в проектах сложнее hello world, так тут же вылезает куча проблем, что касается как новичков, так и матёрых профессионалов. При этом, до сих пор люди делают вид, что проблемы не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #78

76. Сообщение от Анонимный татарин (?), 30-Апр-26, 01:42	+/–
Уж лучше Джулия на нас
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

77. Сообщение от RANDOMIZE USR 15616 (?), 30-Апр-26, 09:17	+1 +/–
Только для просмотра котиков и кисок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

78. Сообщение от Аноним (64), 30-Апр-26, 09:59	+/–
> тут же вылезает куча проблем С 94 года всё вылезала, вылезала, да так и не вылезла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

79. Сообщение от Твайлайт Спаркл тень (?), 30-Апр-26, 10:15	+/–
Никаких винраров, только олдовый .tar.gz
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

80. Сообщение от Аноним12345 (?), 30-Апр-26, 10:30	+/–
гитхаб превращается в здоровенную дыру
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #81

81. Сообщение от Хрю (?), 30-Апр-26, 11:09	+/–
Он всегда ею был.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

82. Сообщение от Admino (ok), 03-Май-26, 00:19	+/–
> А интернет провести они вам позволили? Нет, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема