Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS,  обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что  невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55961

• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,ET, 09:43 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Стас Михайлов, 09:45 , 13-Окт-21
  • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,QwertyReg, 11:29 , 13-Окт-21
    • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Anonymous XE, 12:54 , 13-Окт-21
      • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,QwertyReg, 12:57 , 13-Окт-21
        • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 13:02 , 13-Окт-21
          • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 13:14 , 13-Окт-21
        • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 00:40 , 14-Окт-21
          • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,QwertyReg, 08:31 , 14-Окт-21
  • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,gogo, 18:54 , 13-Окт-21
    • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,gogo, 18:55 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 09:46 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 09:55 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним12345, 10:50 , 13-Окт-21
  • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним12345, 10:53 , 13-Окт-21
    • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Роман, 11:55 , 13-Окт-21
      • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 12:03 , 13-Окт-21
        • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,pashev.me, 12:52 , 13-Окт-21
  • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 10:58 , 13-Окт-21
    • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,YetAnotherOnanym, 16:18 , 13-Окт-21
      • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 16:30 , 13-Окт-21
        • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,YetAnotherOnanym, 19:24 , 13-Окт-21
          • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 19:30 , 13-Окт-21
            • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,YetAnotherOnanym, 01:14 , 14-Окт-21
      • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Онаним, 07:24 , 14-Окт-21
  • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 00:43 , 14-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,_kp, 11:56 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 13:21 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 15:51 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 16:11 , 13-Окт-21
  • Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Аноним, 09:31 , 14-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Hck3r, 21:36 , 13-Окт-21
• Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit...,Ракамакафон Генкбенков, 11:04 , 14-Окт-21

тёмная сторона форков

никогда не было и вот опять ©
Зевнул.
Уже даже не смешно.
Норма для ноды, руби и прочих растов с композерами.
Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с PyPi. В святом расте то такое уж точно недопустимо.

Удивительно! В популярнейших репозиториях находят вредоносные пакеты! Как такое может быть?
И да, раз находят и удаляют, значит, всё хорошо. Плохо, если не находят и не удаляют, как в популярнейшем магазине приложений для Linux на смартфонах.

>магазине приложений для Linux на смартфонах

Такой вообще существует? Android не Linux, если что.

> Такой вообще существует? Android не Linux, если что.

Ой, да бросьте. Когда надо булькнуть про "Linux - самая распространённая в мире ОС", то Android тут же становится дистрибутивом Линукса.
Линуксом он резко перестаёт быть, когда приходит понимание, сколько дыр, вирусни и тормозов в этом дистрибутиве.

Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Хромос это линукс в принципе, андроид уже не очень.

> Линукс самая распространённая ОС без андроида, можете фантазировать что угодно.

Пруфцы давай, нефантазер ты наш опеннетный.

Linux это ядро, а не ОС и да, оно самое распространённое.

> Linux это ядро, а не ОС и да, оно самое распространённое.

Это плохой аргумент.

> пакетный менеджер работает аналогично всем остальным в других платформах.

если вы имеете ввиду npm и т.п. - то да.
но вы сможете совершить подобный трюк с CentOS, например.

так что ваша новомодное понятие нормы для пакетных менеджеров и есть уязвимость. в мозгах.

после "например" следует читать знак вопроса вместо точки )

так они не догонят nodejs

Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что их разработчик уже год-два ведёт проект, и страраюсь верить в то, что если все ссылки на китайский клон гитхаба отвалились, это совершенно нормально. Но всё-таки бинарные пакеты немного страшновато. Хорошо, когда собирается из исходников или вообще без блобов идёт. К сожалению это часто невозможно, нужны и gcc старых версий, и rust неопределённых версий и различные бинарные библиотеки из ещё более стрёмных проектов, которые приходится собирать отдельно.

Какая жесть
А ведь это раздольное поле
Существуют тысячи питоновских пакетов, и любой может быть подвержен такой атаке
Если майнтэйнеры спят, то пиши пропало ...

С другой стороны, каков процент устанавливаемых пакетов с Pypi ?
Я имею ввиду, что каждый дистрибутив имеет свою собственную проверенную базу пакетов,
которую мы получаем при установке дистрибутива
И внедриться туда на порядок сложнее

Once we have our requirements.txt file inside the image, we can use the RUN command to execute the command pip3 install. This works exactly the same as if we were running pip3 install locally on our machine, but this time the modules are installed into the image.

RUN pip3 install -r requirements.txt

это из официального гайда по докеру. Сколько докер образов используется в мире, можете сами прикинуть.

Из пакетов ставят олдфаги, все остальные ставят сразу в докер.

Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты?

А ты забавный

Ещё бывает что оригинальный проект не обновлялся пару лет. И все ссылки на почивший гулогхостинг ведут. Это реальная проблема, приходится очень внимательно проверять, что устанавливаешь. И сравнивать изменения форка. Иногда проще уже написать свой наколенный вариант. Ужасные люди такие вещи с подменой имени делают, как их земля только носит.

> приходится очень внимательно проверять, что устанавливаешь

А почему разработчик не может проверить одну версию зависимости, в которой есть весь необходимый функционал, и дальше прибить её гвоздями через хэш в конфиге установщика?

Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую.

А в свеженьких?

Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для этого делают форк потому что оригинальный автор nowhere to be found.

> Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для
> этого делают форк потому что оригинальный автор nowhere to be found.

Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность работы в нашей аппликухе и снова прибили гвоздями проверенную версию в конфиге инсталлера.

Потому что там crowd coding.
Миллионы мух пытаются собрать из говна и палок собственные проекты.

Какая жесть
А ведь это раздольное поле
Существуют миллионы хостов в интернете и любой может быть контролируемым мошенниками
Если голову не включать, то пиши пропало ...

Вообще такой "вредоносный" код обычное дело при отладке с нескольких разных машин.
Автору достаточно было задокументировать это.

Вполне ожидаемо. Не npmом единым.

> Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe

Это не все вредоносные. Там по сути всё вредительство.

Происки злых пыхарей, не иначе!
Баттхертят, что пистончик самый популярный и не дырявый практически. В отличии от... Дыр найти не осилили, так диверсию устроили. Это так... по пхпшному.

Питону никогда не стать столь же распространённым по количеству внедрений как php. Не востребован. Люди хотят готовые решения типа Wordpress, а на питоне их нет. Да и производительность у питона никакая по сравнению с php.

Он один из авторов. Вообще оригинальную версию выложил Aldo Cortesi
Потом уже там целое коммьюнити вокруг этого пакета образавалось

Не ну а чо, переиминуй зафаршмаченную вирьём сборку винды от толяна на "ШИНДОВС-12 нью спешал эдишан", слей это г-но на торрент и афигеешь сколько модников качнет этат скам. Тут так-же, основы С_И же чо..