The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe"  +/
Сообщение от opennews (?), 13-Окт-21, 09:43 
Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS,  обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что  невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55961

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +8 +/
Сообщение от ET (?), 13-Окт-21, 09:43 
тёмная сторона форков
Ответить | Правка | Наверх | Cообщить модератору

2. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +2 +/
Сообщение от Стас Михайлов (?), 13-Окт-21, 09:45 
никогда не было и вот опять ©
Зевнул.
Уже даже не смешно.
Норма для ноды, руби и прочих растов с композерами.
Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с PyPi. В святом расте то такое уж точно недопустимо.
Ответить | Правка | Наверх | Cообщить модератору

10. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –2 +/
Сообщение от QwertyReg (ok), 13-Окт-21, 11:29 
Удивительно! В популярнейших репозиториях находят вредоносные пакеты! Как такое может быть?
И да, раз находят и удаляют, значит, всё хорошо. Плохо, если не находят и не удаляют, как в популярнейшем магазине приложений для Linux на смартфонах.
Ответить | Правка | Наверх | Cообщить модератору

15. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Anonymous XE (?), 13-Окт-21, 12:54 
>магазине приложений для Linux на смартфонах

Такой вообще существует? Android не Linux, если что.

Ответить | Правка | Наверх | Cообщить модератору

16. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +2 +/
Сообщение от QwertyReg (ok), 13-Окт-21, 12:57 
> Такой вообще существует? Android не Linux, если что.

Ой, да бросьте. Когда надо булькнуть про "Linux - самая распространённая в мире ОС", то Android тут же становится дистрибутивом Линукса.
Линуксом он резко перестаёт быть, когда приходит понимание, сколько дыр, вирусни и тормозов в этом дистрибутиве.

Ответить | Правка | Наверх | Cообщить модератору

17. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –3 +/
Сообщение от Аноним (17), 13-Окт-21, 13:02 
Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Хромос это линукс в принципе, андроид уже не очень.
Ответить | Правка | Наверх | Cообщить модератору

19. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +1 +/
Сообщение от Аноним (-), 13-Окт-21, 13:14 
> Линукс самая распространённая ОС без андроида, можете фантазировать что угодно.

Пруфцы давай, нефантазер ты наш опеннетный.

Ответить | Правка | Наверх | Cообщить модератору

30. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –2 +/
Сообщение от Аноним (30), 14-Окт-21, 00:40 
Linux это ядро, а не ОС и да, оно самое распространённое.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

34. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от QwertyReg (ok), 14-Окт-21, 08:31 
> Linux это ядро, а не ОС и да, оно самое распространённое.

Это плохой аргумент.

Ответить | Правка | Наверх | Cообщить модератору

25. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от gogo (?), 13-Окт-21, 18:54 
> пакетный менеджер работает аналогично всем остальным в других платформах.

если вы имеете ввиду npm и т.п. - то да.
но вы сможете совершить подобный трюк с CentOS, например.

так что ваша новомодное понятие нормы для пакетных менеджеров и есть уязвимость. в мозгах.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

26. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от gogo (?), 13-Окт-21, 18:55 
после "например" следует читать знак вопроса вместо точки )
Ответить | Правка | Наверх | Cообщить модератору

3. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +4 +/
Сообщение от Аноним (-), 13-Окт-21, 09:46 
так они не догонят nodejs
Ответить | Правка | Наверх | Cообщить модератору

4. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –3 +/
Сообщение от Аноним (17), 13-Окт-21, 09:55 
Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что их разработчик уже год-два ведёт проект, и страраюсь верить в то, что если все ссылки на китайский клон гитхаба отвалились, это совершенно нормально. Но всё-таки бинарные пакеты немного страшновато. Хорошо, когда собирается из исходников или вообще без блобов идёт. К сожалению это часто невозможно, нужны и gcc старых версий, и rust неопределённых версий и различные бинарные библиотеки из ещё более стрёмных проектов, которые приходится собирать отдельно.
Ответить | Правка | Наверх | Cообщить модератору

7. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –2 +/
Сообщение от Аноним12345 (?), 13-Окт-21, 10:50 
Какая жесть
А ведь это раздольное поле
Существуют тысячи питоновских пакетов, и любой может быть подвержен такой атаке
Если майнтэйнеры спят, то пиши пропало ...
Ответить | Правка | Наверх | Cообщить модератору

8. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –1 +/
Сообщение от Аноним12345 (?), 13-Окт-21, 10:53 
С другой стороны, каков процент устанавливаемых пакетов с Pypi ?
Я имею ввиду, что каждый дистрибутив имеет свою собственную проверенную базу пакетов,
которую мы получаем при установке дистрибутива
И внедриться туда на порядок сложнее
Ответить | Правка | Наверх | Cообщить модератору

11. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Роман (??), 13-Окт-21, 11:55 
Once we have our requirements.txt file inside the image, we can use the RUN command to execute the command pip3 install. This works exactly the same as if we were running pip3 install locally on our machine, but this time the modules are installed into the image.

RUN pip3 install -r requirements.txt


это из официального гайда по докеру. Сколько докер образов используется в мире, можете сами прикинуть.

Из пакетов ставят олдфаги, все остальные ставят сразу в докер.

Ответить | Правка | Наверх | Cообщить модератору

13. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –3 +/
Сообщение от Аноним (13), 13-Окт-21, 12:03 
Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты?
Ответить | Правка | Наверх | Cообщить модератору

14. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –2 +/
Сообщение от pashev.me (?), 13-Окт-21, 12:52 
А ты забавный
Ответить | Правка | Наверх | Cообщить модератору

9. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +1 +/
Сообщение от Аноним (17), 13-Окт-21, 10:58 
Ещё бывает что оригинальный проект не обновлялся пару лет. И все ссылки на почивший гулогхостинг ведут. Это реальная проблема, приходится очень внимательно проверять, что устанавливаешь. И сравнивать изменения форка. Иногда проще уже написать свой наколенный вариант. Ужасные люди такие вещи с подменой имени делают, как их земля только носит.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

23. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 13-Окт-21, 16:18 
> приходится очень внимательно проверять, что устанавливаешь

А почему разработчик не может проверить одну версию зависимости, в которой есть весь необходимый функционал, и дальше прибить её гвоздями через хэш в конфиге установщика?

Ответить | Правка | Наверх | Cообщить модератору

24. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +1 +/
Сообщение от Аноним (17), 13-Окт-21, 16:30 
Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую.
Ответить | Правка | Наверх | Cообщить модератору

27. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от YetAnotherOnanym (ok), 13-Окт-21, 19:24 
А в свеженьких?
Ответить | Правка | Наверх | Cообщить модератору

28. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Аноним (17), 13-Окт-21, 19:30 
Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для этого делают форк потому что оригинальный автор nowhere to be found.
Ответить | Правка | Наверх | Cообщить модератору

32. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от YetAnotherOnanym (ok), 14-Окт-21, 01:14 
> Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для
> этого делают форк потому что оригинальный автор nowhere to be found.

Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность работы в нашей аппликухе и снова прибили гвоздями проверенную версию в конфиге инсталлера.

Ответить | Правка | Наверх | Cообщить модератору

33. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Онаним (?), 14-Окт-21, 07:24 
Потому что там crowd coding.
Миллионы мух пытаются собрать из говна и палок собственные проекты.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

31. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Аноним (30), 14-Окт-21, 00:43 
Какая жесть
А ведь это раздольное поле
Существуют миллионы хостов в интернете и любой может быть контролируемым мошенниками
Если голову не включать, то пиши пропало ...
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

12. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от _kp (ok), 13-Окт-21, 11:56 
Вообще такой "вредоносный" код обычное дело при отладке с нескольких разных машин.
Автору достаточно было задокументировать это.
Ответить | Правка | Наверх | Cообщить модератору

20. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +1 +/
Сообщение от Аноним (20), 13-Окт-21, 13:21 
Вполне ожидаемо. Не npmом единым.
Ответить | Правка | Наверх | Cообщить модератору

21. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Аноним (21), 13-Окт-21, 15:51 
> Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe

Это не все вредоносные. Там по сути всё вредительство.

Ответить | Правка | Наверх | Cообщить модератору

22. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Аноним (22), 13-Окт-21, 16:11 
Происки злых пыхарей, не иначе!
Баттхертят, что пистончик самый популярный и не дырявый практически. В отличии от... Дыр найти не осилили, так диверсию устроили. Это так... по пхпшному.
Ответить | Правка | Наверх | Cообщить модератору

35. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Аноним (35), 14-Окт-21, 09:31 
Питону никогда не стать столь же распространённым по количеству внедрений как php. Не востребован. Люди хотят готовые решения типа Wordpress, а на питоне их нет. Да и производительность у питона никакая по сравнению с php.
Ответить | Правка | Наверх | Cообщить модератору

29. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Hck3r (?), 13-Окт-21, 21:36 
Он один из авторов. Вообще оригинальную версию выложил Aldo Cortesi
Потом уже там целое коммьюнити вокруг этого пакета образавалось
Ответить | Правка | Наверх | Cообщить модератору

36. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."  +/
Сообщение от Ракамакафон Генкбенков (?), 14-Окт-21, 11:04 
Не ну а чо, переиминуй зафаршмаченную вирьём сборку винды от толяна на "ШИНДОВС-12 нью спешал эдишан", слей это г-но на торрент и афигеешь сколько модников качнет этат скам. Тут так-же, основы С_И же чо..
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру