The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки "  +/
Сообщение от opennews (??), 13-Дек-21, 16:58 
В каталоге PyPI (Python Package Index) выявлены три библиотеки,  содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56337

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +12 +/
Сообщение от Аноним (1), 13-Дек-21, 16:58 
Hahaha, classic…
Ответить | Правка | Наверх | Cообщить модератору

12. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (-), 13-Дек-21, 18:30 
> Hahaha, classic…

https://www.opennet.ru/opennews/art.shtml?num=48948
> В AUR-репозитории Arch Linux найдено вредоносное ПО
> Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

Да, classic.

Ответить | Правка | Наверх | Cообщить модератору

32. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (32), 13-Дек-21, 21:04 
Adobe Acrobat не выпускается с 2013 года. Это легаси дыра.  
Ответить | Правка | Наверх | Cообщить модератору

37. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +2 +/
Сообщение от Аноним (-), 13-Дек-21, 22:15 
>> В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера,
> Adobe Acrobat не выпускается с 2013 года. Это другое!

Ладно, не прошел по ссылке на новость, но хотя бы сначала дочитать до конца и лишь потом писать, что "Это другое!" - не позволяет религия?

Ответить | Правка | Наверх | Cообщить модератору

41. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от й (?), 14-Дек-21, 00:35 
да-да, а Adobe Acrobat Reader DC версии 2021.007.20099 на сайт adobe.com подкинули!
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

45. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (45), 14-Дек-21, 01:54 
> DC версии ... 2021.007.20099

Не ври, DC - это версия 2015. Support by Adobe ended April 7, 2020.

Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  –9 +/
Сообщение от Аноним (2), 13-Дек-21, 17:06 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +1 +/
Сообщение от Аноним (4), 13-Дек-21, 17:09 
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  +/
Сообщение от Аноним (-), 13-Дек-21, 18:26 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. Скрыто модератором  –5 +/
Сообщение от Аноним (2), 13-Дек-21, 18:35 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 13-Дек-21, 19:41 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +9 +/
Сообщение от corvuscor (ok), 13-Дек-21, 17:07 
> была загружена часть пакетов PyPI (около 200 тысяч из 330 тысяч пакетов в репозитории), после чего утилитой grep были выделены и проанализированы пакеты, в файле setup.py которых упоминается вызов "import urllib.request", обычно применяемый для отправки запросов к внешним хостам.

Вот это я понимаю юниксвей))

Ответить | Правка | Наверх | Cообщить модератору

36. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +2 +/
Сообщение от ip1982 (ok), 13-Дек-21, 21:45 
Учтём. Спасибо!
Ответить | Правка | Наверх | Cообщить модератору

5. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +4 +/
Сообщение от Какаянахренразница (ok), 13-Дек-21, 17:10 
> выявлены три вредоносные библиотеки

Што ви гаварице?! Нэ может биц!

Ответить | Правка | Наверх | Cообщить модератору

6. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +8 +/
Сообщение от kai3341 (ok), 13-Дек-21, 17:13 
Идея фишинга стара, как мир. Поэтому будь то npm, будь то pip -- один хрен я иду уточнять имя библиотеки на официальный сайт

> упоминается вызов "import urllib.request"

А ведь это только верхушка айсберга -- эти пацаны даже не пытаются скрыться

Ответить | Правка | Наверх | Cообщить модератору

7. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (7), 13-Дек-21, 17:23 
pip list | grep dpp-client
Ответить | Правка | Наверх | Cообщить модератору

42. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –5 +/
Сообщение от x3who (?), 14-Дек-21, 01:42 
~ $ pip list | grep dpp-client
No command pip found, did you mean:
Command pic in package groff
Command ip in package iproute2
Command php in package php
Command pil in package picolisp
Command pup in package pup
Command ip in package termux-tools
Command zip in package zip
Ответить | Правка | Наверх | Cообщить модератору

73. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (73), 16-Дек-21, 19:47 
C:\> pip list | grep dpp-client
"pip" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Ответить | Правка | Наверх | Cообщить модератору

8. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +3 +/
Сообщение от Аноним (8), 13-Дек-21, 17:34 
>(около 200 тысяч из 330 тысяч пакетов в репозитории)

Места на жёстком диске не хватило, не иначе.

Ответить | Правка | Наверх | Cообщить модератору

9. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +1 +/
Сообщение от Аноним (8), 13-Дек-21, 17:37 
Хотя нет, видимо я ошибся:

>For this research, I was careful to exclude exceedingly large distributions, only pull the latest versions of packages, and configured a lower number of workers to avoid putting excess pressure on PyPI’s servers.

Ответить | Правка | Наверх | Cообщить модератору

14. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +3 +/
Сообщение от Чихиро (?), 13-Дек-21, 18:43 
import urllib.request
Господа, вирусописатели, переходим на requests
Ответить | Правка | Наверх | Cообщить модератору

15. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от Аноним (15), 13-Дек-21, 18:54 
Нет. Он тоже синхронный и блокируется. А ещё он плохо скалируется в мультипотоке из-за GIL, много данных не отправишь. Ничем не лучше.
Ответить | Правка | Наверх | Cообщить модератору

50. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –2 +/
Сообщение от GG (ok), 14-Дек-21, 11:17 
При чём тут GIL?
Скалируется он так же как и любой HTTP: спавни сколько хочешь потоков и отправляй сколько угодно реквестов.

Не влезает в ядро?
Спавни процессы или добавь воркеров в гипервизоре.

Ответить | Правка | Наверх | Cообщить модератору

59. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от Аноним (15), 14-Дек-21, 17:18 
GIL тут при том, что эффективность экспоненциально падает с увеличением числа потоков и приходится спавнить значительно более дорогие процессы или использовать какой-нибудь curl не завязанный на гил. Из-за него питон фактически однопоточный и этого для скалирующихся задач не достаточно.
Ответить | Правка | Наверх | Cообщить модератору

61. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –2 +/
Сообщение от GG (ok), 14-Дек-21, 17:39 
> экспоненциально

Неуд тебе по математике, приходи пересдавать когда выучишь.
От того что у тебя миллион реквестов в ожидании висеть будут поменяется примерно ничего.
Разница с си меньше 10% если руки прямые.

Ответить | Правка | Наверх | Cообщить модератору

62. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (15), 14-Дек-21, 17:42 
В каком ещё ожидании, ты в себе? Разница с си никогда не будет 10% и в мультипотоке эффективность просто улетает под плинтуса.
Ответить | Правка | Наверх | Cообщить модератору

16. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +3 +/
Сообщение от Массоны Рептилоиды (?), 13-Дек-21, 18:54 
> import urllib.request
> Господа, вирусописатели, переходим на requests

Мы перешли, нас не нашли

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

20. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от kusb (?), 13-Дек-21, 19:28 
pull requests
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

17. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (17), 13-Дек-21, 19:00 
Отсылочка к Black Mirror засчитана.
Ответить | Правка | Наверх | Cообщить модератору

19. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от _dz (?), 13-Дек-21, 19:15 
Какая отсылочка?
Ответить | Правка | Наверх | Cообщить модератору

22. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +1 +/
Сообщение от EuPhobos (ok), 13-Дек-21, 19:30 
> Пакет aws-login0tool (3042 загрузки)
> расчёт был сделан на то, что клавиши "0" и "-" находятся рядом

3042 раза программисты прокосили по кнопкам.

Ответить | Правка | Наверх | Cообщить модератору

43. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от x3who (?), 14-Дек-21, 01:44 
аавтодополнения небось рулят
Ответить | Правка | Наверх | Cообщить модератору

24. Скрыто модератором  +5 +/
Сообщение от Аноним (45), 13-Дек-21, 19:52 
Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  +1 +/
Сообщение от Аноним (26), 13-Дек-21, 20:06 
Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  +2 +/
Сообщение от Аноним (45), 13-Дек-21, 20:41 
Ответить | Правка | Наверх | Cообщить модератору

30. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Онаним (?), 13-Дек-21, 20:53 
/mnt/mesos, говорите
Ряд деввасянов ждут сюрпризы
Ответить | Правка | Наверх | Cообщить модератору

38. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от пох. (?), 13-Дек-21, 23:40 
вот тот случай - когда не знал о какой-то ненужной х-не, и дальше лучше и не узнавать.

https://mesos.apache.org/getting-started/ - просто прекрасно.

Ответить | Правка | Наверх | Cообщить модератору

31. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +1 +/
Сообщение от Аноним (-), 13-Дек-21, 21:03 
meson в топку? мне казалось хакеры продвинули питон в линукс чтобы распитонячить системы
Ответить | Правка | Наверх | Cообщить модератору

34. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (32), 13-Дек-21, 21:07 
Нет для этого продвинули node.js теперь даже маки у фронтенд разработчиков кишат вирусами и майнерами, а те и не в курсе потому что на маке нет вирусов. И антивирус они конечно же ставить не будут.  
Ответить | Правка | Наверх | Cообщить модератору

40. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от анонимуслинус (?), 13-Дек-21, 23:44 
вирусы могут быть везде. вот только линь держится еще из-за пока что строгих прав доступа. на маке и винде для удобства считай что их нет. итог мак тоже стал осью для вирусов. кстати линь тоже может легко стать такой осью , если прокладка между монитором и сиденьем довольно тупа. ничто не совершенно. но маки на стары powerG процах были топ машинками, а на интел стали хламом.
Ответить | Правка | Наверх | Cообщить модератору

44. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от x3who (?), 14-Дек-21, 01:50 
у меня гибко с правами, даже хомяки без noexec монтируются и никакой срани тюфу-тьфу нет.. хотя надо бы маунты пофиксить чот подумалось вдруг.
Ответить | Правка | Наверх | Cообщить модератору

51. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от GG (ok), 14-Дек-21, 11:20 
$ which python3
Ответить | Правка | Наверх | Cообщить модератору

58. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от Онаним (?), 14-Дек-21, 16:12 
/usr/bin/which: no python3 in (/home/***/.local/bin:/home/***/bin:/home/***/.local/bin:/home/***/bin:/home/***/.local/bin:/home/***/bin:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin)
Ответить | Правка | Наверх | Cообщить модератору

35. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +3 +/
Сообщение от Онаним (?), 13-Дек-21, 21:07 
normal.exe
Эти люди что-то знают о пистонистах.
Ответить | Правка | Наверх | Cообщить модератору

46. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (46), 14-Дек-21, 03:16 
>330000 пакетов
>всего 3 вредоноса

Либо чуствительность поиска крайне низкая, либо pip никому на фиг не нужен. Склоняюсь к первой гипотезе.

Ответить | Правка | Наверх | Cообщить модератору

55. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от макпыф (ok), 14-Дек-21, 14:13 
grep -r "import urllib.request"
вот и весь поиск
Ответить | Правка | Наверх | Cообщить модератору

48. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +1 +/
Сообщение от microcoder (ok), 14-Дек-21, 08:20 
А кто-то вообще проверяет код который штампует Open Source сообщество? Ведь там же гигантский код, на миллионы строк в сумме при каждом апдэйте rolling-системы (Arch, Manjaro) или не rolling, но не так часто обновления. Кто это проверяет? Тот кто проверяет компетентен в том, что там вообще бывает написано в этих самых исходниках? Знает все языки, конструкции, парадигмы? Он не подкупен, если что за 30 серебренников? ))) А Линус, разве не может протянуть в ядро бэкдор, троян ради хохмы или ради выгоды? Я понимаю, что некоторые крупные проекты Open Source визируют код прежде чем добавить его в master ветку, но кто этот тот, кто знает и читает весь код и понимает, что там написано? Откуда у него столько времени на чтение кода?
Ответить | Правка | Наверх | Cообщить модератору

49. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от пох. (?), 14-Дек-21, 10:34 
> А кто-то вообще проверяет код который штампует Open Source сообщество?

дык, этот, тысячегласс жеж. (Мифическое астральное создание, якобы присматривающее с седьмого неба за всем посвященным шва6одке и лично встолману софтом.)

Ему, правда, что-то давно человеческих жертв не приносили... ты, кстати, вполне подходишь.

Ответить | Правка | Наверх | Cообщить модератору

54. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (-), 14-Дек-21, 14:09 
> дык, этот, тысячегласс жеж. (Мифическое астральное создание, якобы присматривающее с седьмого
> неба за всем посвященным шва6одке и лично встолману софтом.)

Просто глаза у него в том же самом месте, что и у поклонников (и глаза и, зачастую, руки) - энергия веры форматирует тысячегласса "по образу и подобию".

Ответить | Правка | Наверх | Cообщить модератору

56. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от myhand (ok), 14-Дек-21, 14:42 
> дык, этот, тысячегласс жеж.

Т.е. ты готов предъявить тысячи пакетов, которые прописали себе это в зависимости, верно?

> ты, кстати, вполне подходишь.

А ты шо, таки отощщал?

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

66. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от PaleMoon (?), 15-Дек-21, 01:07 
Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон институтские пытались в ядро бэкдор впихнуть, были вышвырнуты и потом долго извинялись.
Для не rolling: в RedHat и Canonical люди сидят на зарплате, вот и проверяют.
Ну и уязвимости везде находят.

Вот кому выгодно нарабатывать репутацию годами и потом потерять доверие от злоумышленных действий?
Arch AUR, PIP, NPM  не использует этот механизм

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

69. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +1 +/
Сообщение от Аноним (-), 15-Дек-21, 02:29 
> Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон
> институтские пытались в ядро бэкдор впихнуть, были вышвырнуты

Угу, в фантазиях анонимов ("мotivated reasoning", кажись) оно может так и было, а вот в реальности - немного по другому.

https://www.opennet.ru/opennews/art.shtml?num=55095
> Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
> 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

https://lore.kernel.org/lkml/202105051005.49BFABCE@kees.../
> Timeline of events
> 2018:
>  - UMN bug-fix research on Linux kernel starts, and roughly 400 bug-fix
>    patches are contributed over the next two years, mainly centered
>    around specific research papers

т.е. патчи там были пару-тройку лет - 12 патчей даже успели "протухнуть".
"А так - все хорошо, прекрасная маркиза!"(с)

Ответить | Правка | Наверх | Cообщить модератору

53. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от microcoder (ok), 14-Дек-21, 13:30 
Это всегда так будет, пока любая вещь популярна. Сделали Пайтон популярным - притянули криминал.
Ответить | Правка | Наверх | Cообщить модератору

60. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +2 +/
Сообщение от Аноним (60), 14-Дек-21, 17:28 
Это судьба всех этих pip-ов, npm-ов и каргоф. Это реальность. Можете минусовать. Всё равно реальность не изменить.
Ответить | Правка | Наверх | Cообщить модератору

63. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (-), 14-Дек-21, 17:50 
> Это судьба всех этих pip-ов, npm-ов и каргоф. Это реальность.

Писать бред - судьба опеннетных анонимных дурачков. Это реальность. Можете минусовать и полыхать. Все равно реальность не изменить.


Ответить | Правка | Наверх | Cообщить модератору

64. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (-), 14-Дек-21, 19:59 
Поддвачну. Сделали язычку одной реализации встроенную помойку с троянами - принимайте последствия. Нормальный язык с таким поставляться не будет.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

67. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от PaleMoon (?), 15-Дек-21, 01:11 
Интересно как Perl CPAN и частично Ruby gems этого избежали?
Ответить | Правка | Наверх | Cообщить модератору

70. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (70), 15-Дек-21, 11:54 
А они избежали ?
Ответить | Правка | Наверх | Cообщить модератору

71. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (-), 15-Дек-21, 14:52 
> А они избежали ?

Да нет:
https://www.opennet.ru/opennews/art.shtml?num=53448
> В Perl-пакете Module-AutoLoad выявлен вредоносный код
> 29.07.2020 11:27
> В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году.

https://www.opennet.ru/opennews/art.shtml?num=52785
> В RubyGems выявлено 724 вредоносных пакета
> 22.04.2020 09:55

Просто "Это другое!"(с)

Ответить | Правка | Наверх | Cообщить модератору

65. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  –1 +/
Сообщение от Аноним (-), 14-Дек-21, 20:00 
Казалось бы, при чём тут Rust?
Ответить | Правка | Наверх | Cообщить модератору

68. "В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."  +/
Сообщение от Аноним (45), 15-Дек-21, 01:13 
Ага... На расте проектов нету. Совсем.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру