https://www.opennet.ru/openforum/vsluhforumID3/119153.html В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов, на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время, проблемные пакеты уже удалены из каталога PyPI...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51975<br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#76 Fri, 06 Dec 2019 16:08:06 GMT Шел бы ты лучше мешки ворочать<br><br>https://doc.rust-lang.org/cargo/reference/source-replacement.html<br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#75 Thu, 05 Dec 2019 21:22:39 GMT сам создал, сам разоблачил, и статей настрочил. Прям неуловимый Джо.<br><br>непонятные либы с кривыми именами которые фиг случайно напечатаеш и фиг где найдеш если не по прямой ссылке.<br><br>1) в гугле их нету, толко ссылки на сплашные разоблачения.<br><br>2) а хакер скромяга. jellyfish 1к звезд, популярность либы выше крыши, целый год ночами не спал думал что же выбрать дальше.<br><br>3) тайпсквоттинга - нуда - случайно набил вместо l sift+i , это болезнь паркинсона такая?<br>python3-dateutil - а тут python3 тоже случайно?<br><br>4) "данные для проектов PyCharm", WTF? что бы что? не ну серьезно <br>у человека полный доступ к компу а он не рута брутит а настройки папок тащит?<br>ну а че все в семью<br><br>это ж где такие ССЗБ водяться чтобы такие опечатки делать.<br>помойму очевидно - британские ученые осваивют питон.<br><br>вот если бы этих исследователей <br>"было размещено 214 подставных пакетов"<br>https://www.opennet.ru/opennews/art.shtml?num=44576<br>во время эксперемента - разоблочил их колега по цеху - то была бы группа хакеров а не исследо https://www.opennet.ru/openforum/vsluhforumID3/119153.html#74 Thu, 05 Dec 2019 09:13:52 GMT он не ошибся, он как раз надеялся что дебианолюбители по инерции именно такое имя и наберут, или просто найдут поиском и не заметят ничего необычного.<br><br>Спалили, гады :-(<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#73 Thu, 05 Dec 2019 09:11:50 GMT рупиями. Ишь, макака, бананов хочет. Банан я и сам съесть могу. А так - поработает недельку, заработает на тарелку далбата, может быть.<br><br>Почем они там капчу разгадывают - доллар за сотню, или уже дешевле?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#72 Thu, 05 Dec 2019 09:05:54 GMT &gt; вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -<br><br>при всем моем уважении к вебмину, действительно решающему иногда очень актуальную задачу - ничуть не опаснее именно в силу неуловимости джо - во-первых, как обычно, требовалось немного помочь олбанскому вирусу, включив уникально-редко используемую (используемую ли кем-либо в мире вообще?) фичу, во-вторых, следовало быть не только любителем веб-администрежа, но еще и неимоверно отважным, открыв доступ к фиче и самому вебмину всем желающим.<br><br>Лично я не могу похвастаться подобными конфигурациями, как-то ни одной за всю жизнь не держал.<br><br>А dateutil - опачки, вот он. Ну да, я его поставил из репо дистрибутива, разумеется, правильный, но это ж мне просто повезло с немодным-несовременным скриптом, не умеющим втянуть полсотни автозависимостей при установке. А майнтейнеру повезло когда-то что он мышкой не скопипастил - неправильный, но очень похожий.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#71 Thu, 05 Dec 2019 08:58:43 GMT он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не написанные никаких виндовых паролей у нас не сольют. Потому что вовсе не так легко это сделать, как тебе мечтается.<br><br>А ваши "гепеге и эсэсхехе" - ну да, разумеется, еще не раз.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#70 Thu, 05 Dec 2019 06:21:02 GMT Привязывайте пакеты не к pip, а г гит-репозиториям.<br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#69 Thu, 05 Dec 2019 04:33:21 GMT &gt;"I" (i) вместо "l" (L) <br><br>Тут всё упирается в шрифты. В тексте статьи у меня I и l выглядят одинаково, зато в поле ввода(где я писал этот комментарий) и в терминале эти буквы отличаются(I выглядит как положено). Так что можно сказать, что это "уязвимость" в шрифтах.<br> https://www.opennet.ru/openforum/vsluhforumID3/119153.html#68 Wed, 04 Dec 2019 23:23:52 GMT Именно: перед мэйнтейнерами репозиториев дистрибутивов стоит задача обеспечить автономную сборку софта. В то время как используемая софтом на rust build-система, cargo, в доску сетевая и в принципе не имеет ключей для сборки без обращений к своему репозиторию. Вот как пакетировать такой софт? Патчить cargo для отрезания сетевой активности и совать ему архивы?<br>