The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки "  +/
Сообщение от opennews (??), 13-Дек-21, 16:58 
В каталоге PyPI (Python Package Index) выявлены три библиотеки,  содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56337

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Дек-21, 16:58   +12 +/
Hahaha, classic…
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

2. Сообщение от Аноним (2), 13-Дек-21, 17:06   –9 +/
Это же тот самый PyPI, который "уж точно безопаснее этого вашего npm", верно? Я ничего не перепутал?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #11, #23

3. Сообщение от corvuscor (ok), 13-Дек-21, 17:07   +9 +/
> была загружена часть пакетов PyPI (около 200 тысяч из 330 тысяч пакетов в репозитории), после чего утилитой grep были выделены и проанализированы пакеты, в файле setup.py которых упоминается вызов "import urllib.request", обычно применяемый для отправки запросов к внешним хостам.

Вот это я понимаю юниксвей))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

4. Сообщение от Аноним (4), 13-Дек-21, 17:09   +1 +/
Ну тут хотя бы нельзя выпустить обновление для любого пакета
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Какаянахренразница (ok), 13-Дек-21, 17:10   +4 +/
> выявлены три вредоносные библиотеки

Што ви гаварице?! Нэ может биц!

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от kai3341 (ok), 13-Дек-21, 17:13   +8 +/
Идея фишинга стара, как мир. Поэтому будь то npm, будь то pip -- один хрен я иду уточнять имя библиотеки на официальный сайт

> упоминается вызов "import urllib.request"

А ведь это только верхушка айсберга -- эти пацаны даже не пытаются скрыться

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 13-Дек-21, 17:23   +/
pip list | grep dpp-client
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

8. Сообщение от Аноним (8), 13-Дек-21, 17:34   +3 +/
>(около 200 тысяч из 330 тысяч пакетов в репозитории)

Места на жёстком диске не хватило, не иначе.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

9. Сообщение от Аноним (8), 13-Дек-21, 17:37   +1 +/
Хотя нет, видимо я ошибся:

>For this research, I was careful to exclude exceedingly large distributions, only pull the latest versions of packages, and configured a lower number of workers to avoid putting excess pressure on PyPI’s servers.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (-), 13-Дек-21, 18:26   +/
> Это же тот самый PyPI, который "уж точно безопаснее этого вашего npm", верно? Я ничего не перепутал?

Кто ж его знает, что тебе голоса в голове нашептали?
В реальности вообще-то наоборот - есть вполне себе коммерческая nmp incorporaed, которой и принадлежит репозиторий npm - в отличии от принадлежащего сообществу PyPi.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

12. Сообщение от Аноним (-), 13-Дек-21, 18:30   +/
> Hahaha, classic…

https://www.opennet.ru/opennews/art.shtml?num=48948
> В AUR-репозитории Arch Linux найдено вредоносное ПО
> Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

Да, classic.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32

13. Сообщение от Аноним (2), 13-Дек-21, 18:35   –5 +/
— А PyPI точно безопаснее npm?
— Вообще-то наоборот: npm инкорпорейтед, а pypi нон-профит.

лол

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Чихиро (?), 13-Дек-21, 18:43   +3 +/
import urllib.request
Господа, вирусописатели, переходим на requests
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #20

15. Сообщение от Аноним (15), 13-Дек-21, 18:54   –1 +/
Нет. Он тоже синхронный и блокируется. А ещё он плохо скалируется в мультипотоке из-за GIL, много данных не отправишь. Ничем не лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #50

16. Сообщение от Массоны Рептилоиды (?), 13-Дек-21, 18:54   +3 +/
> import urllib.request
> Господа, вирусописатели, переходим на requests

Мы перешли, нас не нашли

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от Аноним (17), 13-Дек-21, 19:00   +/
Отсылочка к Black Mirror засчитана.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

19. Сообщение от _dz (?), 13-Дек-21, 19:15   +/
Какая отсылочка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от kusb (?), 13-Дек-21, 19:28   –1 +/
pull requests
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

22. Сообщение от EuPhobos (ok), 13-Дек-21, 19:30   +1 +/
> Пакет aws-login0tool (3042 загрузки)
> расчёт был сделан на то, что клавиши "0" и "-" находятся рядом

3042 раза программисты прокосили по кнопкам.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

23. Сообщение от Аноним (-), 13-Дек-21, 19:41   +1 +/
> Это же тот самый PyPI, который "уж точно безопаснее этого вашего npm", верно? Я ничего не перепутал?

Источник "Что очерденому опеннетному анониму нашептали Голосов из Розетки, Том MCMLXXIV"?


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

24. Сообщение от Аноним (45), 13-Дек-21, 19:52   +5 +/
> В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки

В каталоге вредоносных библиотек выявлено три пакета...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от Аноним (26), 13-Дек-21, 20:06   +1 +/
В интернете нашли вредоносный код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #28

28. Сообщение от Аноним (45), 13-Дек-21, 20:41   +2 +/
Во вредоносном коде нашли интернет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от Онаним (?), 13-Дек-21, 20:53   +/
/mnt/mesos, говорите
Ряд деввасянов ждут сюрпризы
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

31. Сообщение от Аноним (-), 13-Дек-21, 21:03   +1 +/
meson в топку? мне казалось хакеры продвинули питон в линукс чтобы распитонячить системы
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

32. Сообщение от Аноним (32), 13-Дек-21, 21:04   +/
Adobe Acrobat не выпускается с 2013 года. Это легаси дыра.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #37, #41

34. Сообщение от Аноним (32), 13-Дек-21, 21:07   +/
Нет для этого продвинули node.js теперь даже маки у фронтенд разработчиков кишат вирусами и майнерами, а те и не в курсе потому что на маке нет вирусов. И антивирус они конечно же ставить не будут.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #40

35. Сообщение от Онаним (?), 13-Дек-21, 21:07   +3 +/
normal.exe
Эти люди что-то знают о пистонистах.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от ip1982 (ok), 13-Дек-21, 21:45   +2 +/
Учтём. Спасибо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

37. Сообщение от Аноним (-), 13-Дек-21, 22:15   +2 +/
>> В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера,
> Adobe Acrobat не выпускается с 2013 года. Это другое!

Ладно, не прошел по ссылке на новость, но хотя бы сначала дочитать до конца и лишь потом писать, что "Это другое!" - не позволяет религия?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

38. Сообщение от пох. (?), 13-Дек-21, 23:40   +/
вот тот случай - когда не знал о какой-то ненужной х-не, и дальше лучше и не узнавать.

https://mesos.apache.org/getting-started/ - просто прекрасно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

40. Сообщение от анонимуслинус (?), 13-Дек-21, 23:44   –1 +/
вирусы могут быть везде. вот только линь держится еще из-за пока что строгих прав доступа. на маке и винде для удобства считай что их нет. итог мак тоже стал осью для вирусов. кстати линь тоже может легко стать такой осью , если прокладка между монитором и сиденьем довольно тупа. ничто не совершенно. но маки на стары powerG процах были топ машинками, а на интел стали хламом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #44

41. Сообщение от й (?), 14-Дек-21, 00:35   +/
да-да, а Adobe Acrobat Reader DC версии 2021.007.20099 на сайт adobe.com подкинули!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #45

42. Сообщение от x3who (?), 14-Дек-21, 01:42   –5 +/
~ $ pip list | grep dpp-client
No command pip found, did you mean:
Command pic in package groff
Command ip in package iproute2
Command php in package php
Command pil in package picolisp
Command pup in package pup
Command ip in package termux-tools
Command zip in package zip
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #73

43. Сообщение от x3who (?), 14-Дек-21, 01:44   –1 +/
аавтодополнения небось рулят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

44. Сообщение от x3who (?), 14-Дек-21, 01:50   –1 +/
у меня гибко с правами, даже хомяки без noexec монтируются и никакой срани тюфу-тьфу нет.. хотя надо бы маунты пофиксить чот подумалось вдруг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #51

45. Сообщение от Аноним (45), 14-Дек-21, 01:54   +/
> DC версии ... 2021.007.20099

Не ври, DC - это версия 2015. Support by Adobe ended April 7, 2020.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от Аноним (46), 14-Дек-21, 03:16   +/
>330000 пакетов
>всего 3 вредоноса

Либо чуствительность поиска крайне низкая, либо pip никому на фиг не нужен. Склоняюсь к первой гипотезе.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

48. Сообщение от microcoder (ok), 14-Дек-21, 08:20   +1 +/
А кто-то вообще проверяет код который штампует Open Source сообщество? Ведь там же гигантский код, на миллионы строк в сумме при каждом апдэйте rolling-системы (Arch, Manjaro) или не rolling, но не так часто обновления. Кто это проверяет? Тот кто проверяет компетентен в том, что там вообще бывает написано в этих самых исходниках? Знает все языки, конструкции, парадигмы? Он не подкупен, если что за 30 серебренников? ))) А Линус, разве не может протянуть в ядро бэкдор, троян ради хохмы или ради выгоды? Я понимаю, что некоторые крупные проекты Open Source визируют код прежде чем добавить его в master ветку, но кто этот тот, кто знает и читает весь код и понимает, что там написано? Откуда у него столько времени на чтение кода?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49, #66

49. Сообщение от пох. (?), 14-Дек-21, 10:34   –1 +/
> А кто-то вообще проверяет код который штампует Open Source сообщество?

дык, этот, тысячегласс жеж. (Мифическое астральное создание, якобы присматривающее с седьмого неба за всем посвященным шва6одке и лично встолману софтом.)

Ему, правда, что-то давно человеческих жертв не приносили... ты, кстати, вполне подходишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #54, #56

50. Сообщение от GG (ok), 14-Дек-21, 11:17   –2 +/
При чём тут GIL?
Скалируется он так же как и любой HTTP: спавни сколько хочешь потоков и отправляй сколько угодно реквестов.

Не влезает в ядро?
Спавни процессы или добавь воркеров в гипервизоре.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #59

51. Сообщение от GG (ok), 14-Дек-21, 11:20   +/
$ which python3
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #58

53. Сообщение от microcoder (ok), 14-Дек-21, 13:30   +/
Это всегда так будет, пока любая вещь популярна. Сделали Пайтон популярным - притянули криминал.
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (-), 14-Дек-21, 14:09   +/
> дык, этот, тысячегласс жеж. (Мифическое астральное создание, якобы присматривающее с седьмого
> неба за всем посвященным шва6одке и лично встолману софтом.)

Просто глаза у него в том же самом месте, что и у поклонников (и глаза и, зачастую, руки) - энергия веры форматирует тысячегласса "по образу и подобию".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

55. Сообщение от макпыф (ok), 14-Дек-21, 14:13   +/
grep -r "import urllib.request"
вот и весь поиск
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

56. Сообщение от myhand (ok), 14-Дек-21, 14:42   +/
> дык, этот, тысячегласс жеж.

Т.е. ты готов предъявить тысячи пакетов, которые прописали себе это в зависимости, верно?

> ты, кстати, вполне подходишь.

А ты шо, таки отощщал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

58. Сообщение от Онаним (?), 14-Дек-21, 16:12   –1 +/
/usr/bin/which: no python3 in (/home/***/.local/bin:/home/***/bin:/home/***/.local/bin:/home/***/bin:/home/***/.local/bin:/home/***/bin:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

59. Сообщение от Аноним (15), 14-Дек-21, 17:18   –1 +/
GIL тут при том, что эффективность экспоненциально падает с увеличением числа потоков и приходится спавнить значительно более дорогие процессы или использовать какой-нибудь curl не завязанный на гил. Из-за него питон фактически однопоточный и этого для скалирующихся задач не достаточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #61

60. Сообщение от Аноним (60), 14-Дек-21, 17:28   +2 +/
Это судьба всех этих pip-ов, npm-ов и каргоф. Это реальность. Можете минусовать. Всё равно реальность не изменить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #64

61. Сообщение от GG (ok), 14-Дек-21, 17:39   –2 +/
> экспоненциально

Неуд тебе по математике, приходи пересдавать когда выучишь.
От того что у тебя миллион реквестов в ожидании висеть будут поменяется примерно ничего.
Разница с си меньше 10% если руки прямые.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #62

62. Сообщение от Аноним (15), 14-Дек-21, 17:42   +/
В каком ещё ожидании, ты в себе? Разница с си никогда не будет 10% и в мультипотоке эффективность просто улетает под плинтуса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Аноним (-), 14-Дек-21, 17:50   +/
> Это судьба всех этих pip-ов, npm-ов и каргоф. Это реальность.

Писать бред - судьба опеннетных анонимных дурачков. Это реальность. Можете минусовать и полыхать. Все равно реальность не изменить.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от Аноним (-), 14-Дек-21, 19:59   +/
Поддвачну. Сделали язычку одной реализации встроенную помойку с троянами - принимайте последствия. Нормальный язык с таким поставляться не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #67

65. Сообщение от Аноним (-), 14-Дек-21, 20:00   –1 +/
Казалось бы, при чём тут Rust?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

66. Сообщение от PaleMoon (?), 15-Дек-21, 01:07   –1 +/
Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон институтские пытались в ядро бэкдор впихнуть, были вышвырнуты и потом долго извинялись.
Для не rolling: в RedHat и Canonical люди сидят на зарплате, вот и проверяют.
Ну и уязвимости везде находят.

Вот кому выгодно нарабатывать репутацию годами и потом потерять доверие от злоумышленных действий?
Arch AUR, PIP, NPM  не использует этот механизм

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #69

67. Сообщение от PaleMoon (?), 15-Дек-21, 01:11   +/
Интересно как Perl CPAN и частично Ruby gems этого избежали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #70

68. Сообщение от Аноним (45), 15-Дек-21, 01:13   +/
Ага... На расте проектов нету. Совсем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от Аноним (-), 15-Дек-21, 02:29   +1 +/
> Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон
> институтские пытались в ядро бэкдор впихнуть, были вышвырнуты

Угу, в фантазиях анонимов ("мotivated reasoning", кажись) оно может так и было, а вот в реальности - немного по другому.

https://www.opennet.ru/opennews/art.shtml?num=55095
> Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
> 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

https://lore.kernel.org/lkml/202105051005.49BFABCE@kees.../
> Timeline of events
> 2018:
>  - UMN bug-fix research on Linux kernel starts, and roughly 400 bug-fix
>    patches are contributed over the next two years, mainly centered
>    around specific research papers

т.е. патчи там были пару-тройку лет - 12 патчей даже успели "протухнуть".
"А так - все хорошо, прекрасная маркиза!"(с)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от Аноним (70), 15-Дек-21, 11:54   +/
А они избежали ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #71

71. Сообщение от Аноним (-), 15-Дек-21, 14:52   +/
> А они избежали ?

Да нет:
https://www.opennet.ru/opennews/art.shtml?num=53448
> В Perl-пакете Module-AutoLoad выявлен вредоносный код
> 29.07.2020 11:27
> В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году.

https://www.opennet.ru/opennews/art.shtml?num=52785
> В RubyGems выявлено 724 вредоносных пакета
> 22.04.2020 09:55

Просто "Это другое!"(с)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

73. Сообщение от Аноним (73), 16-Дек-21, 19:47   +/
C:\> pip list | grep dpp-client
"pip" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру