The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe

13.10.2021 09:25

Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS, обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию.

По своему составу mitmproxy2 был аналогичен mitmproxy, за исключением изменений с реализацией вредоносной функциональности. Изменения сводились к прекращению выставления HTTP-заголовка "X-Frame-Options: DENY", запрещающего обработку содержимого внутри iframe, отключению защиты от XSRF-атак и выставлению заголовков "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" и "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".

Указанные изменения убирали ограничения доступа к HTTP API, применяемого для управления mitmproxy через Web-интерфейс, что позволяло любому злоумышленнику, находящемуся в той же локальной сети, через отправку HTTP-запроса организовать выполнение своего кода на системе пользователя.

Администрация каталога согласилась с тем, что внесённые изменения можно трактовать как вредоносные, а сам пакет как попытку продвижения иного продукта под видом основного проекта (в описании пакета утверждалось, что это новая версия mitmproxy, а не форк). После удаления пакета из каталога на следующий день в PyPI был размещён новый пакет mitmproxy-iframe, описание которого также полностью совпадало с официальным пакетом. В настоящее время пакет mitmproxy-iframe также удалён из каталога PyPI.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  3. OpenNews: В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов
  4. OpenNews: В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
  5. OpenNews: В каталоге PyPI выявлены вредоносные пакеты
  6. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55961-pypi
Ключевые слова: pypi, mitmproxy
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ET (?), 09:43, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    тёмная сторона форков
     
  • 1.2, Стас Михайлов (?), 09:45, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    никогда не было и вот опять ©
    Зевнул.
    Уже даже не смешно.
    Норма для ноды, руби и прочих растов с композерами.
    Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с PyPi. В святом расте то такое уж точно недопустимо.
     
     
  • 2.10, QwertyReg (ok), 11:29, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Удивительно! В популярнейших репозиториях находят вредоносные пакеты! Как такое может быть?
    И да, раз находят и удаляют, значит, всё хорошо. Плохо, если не находят и не удаляют, как в популярнейшем магазине приложений для Linux на смартфонах.
     
     
  • 3.15, Anonymous XE (?), 12:54, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >магазине приложений для Linux на смартфонах

    Такой вообще существует? Android не Linux, если что.

     
     
  • 4.16, QwertyReg (ok), 12:57, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Такой вообще существует? Android не Linux, если что.

    Ой, да бросьте. Когда надо булькнуть про "Linux - самая распространённая в мире ОС", то Android тут же становится дистрибутивом Линукса.
    Линуксом он резко перестаёт быть, когда приходит понимание, сколько дыр, вирусни и тормозов в этом дистрибутиве.

     
     
  • 5.17, Аноним (17), 13:02, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Хромос это линукс в принципе, андроид уже не очень.
     
     
  • 6.19, Аноним (-), 13:14, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Линукс самая распространённая ОС без андроида, можете фантазировать что угодно.

    Пруфцы давай, нефантазер ты наш опеннетный.

     
  • 5.30, Аноним (30), 00:40, 14/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Linux это ядро, а не ОС и да, оно самое распространённое.
     
     
  • 6.34, QwertyReg (ok), 08:31, 14/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Linux это ядро, а не ОС и да, оно самое распространённое.

    Это плохой аргумент.

     
  • 2.25, gogo (?), 18:54, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > пакетный менеджер работает аналогично всем остальным в других платформах.

    если вы имеете ввиду npm и т.п. - то да.
    но вы сможете совершить подобный трюк с CentOS, например.

    так что ваша новомодное понятие нормы для пакетных менеджеров и есть уязвимость. в мозгах.

     
     
  • 3.26, gogo (?), 18:55, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    после "например" следует читать знак вопроса вместо точки )
     

  • 1.3, Аноним (-), 09:46, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    так они не догонят nodejs
     
  • 1.4, Аноним (17), 09:55, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что их разработчик уже год-два ведёт проект, и страраюсь верить в то, что если все ссылки на китайский клон гитхаба отвалились, это совершенно нормально. Но всё-таки бинарные пакеты немного страшновато. Хорошо, когда собирается из исходников или вообще без блобов идёт. К сожалению это часто невозможно, нужны и gcc старых версий, и rust неопределённых версий и различные бинарные библиотеки из ещё более стрёмных проектов, которые приходится собирать отдельно.
     
  • 1.7, Аноним12345 (?), 10:50, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Какая жесть
    А ведь это раздольное поле
    Существуют тысячи питоновских пакетов, и любой может быть подвержен такой атаке
    Если майнтэйнеры спят, то пиши пропало ...
     
     
  • 2.8, Аноним12345 (?), 10:53, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С другой стороны, каков процент устанавливаемых пакетов с Pypi ?
    Я имею ввиду, что каждый дистрибутив имеет свою собственную проверенную базу пакетов,
    которую мы получаем при установке дистрибутива
    И внедриться туда на порядок сложнее
     
     
  • 3.11, Роман (??), 11:55, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Once we have our requirements.txt file inside the image, we can use the RUN command to execute the command pip3 install. This works exactly the same as if we were running pip3 install locally on our machine, but this time the modules are installed into the image.

    RUN pip3 install -r requirements.txt


    это из официального гайда по докеру. Сколько докер образов используется в мире, можете сами прикинуть.

    Из пакетов ставят олдфаги, все остальные ставят сразу в докер.

     
     
  • 4.13, Аноним (13), 12:03, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты?
     
     
  • 5.14, pashev.me (?), 12:52, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А ты забавный
     
  • 2.9, Аноним (17), 10:58, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё бывает что оригинальный проект не обновлялся пару лет. И все ссылки на почивший гулогхостинг ведут. Это реальная проблема, приходится очень внимательно проверять, что устанавливаешь. И сравнивать изменения форка. Иногда проще уже написать свой наколенный вариант. Ужасные люди такие вещи с подменой имени делают, как их земля только носит.
     
     
  • 3.23, YetAnotherOnanym (ok), 16:18, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > приходится очень внимательно проверять, что устанавливаешь

    А почему разработчик не может проверить одну версию зависимости, в которой есть весь необходимый функционал, и дальше прибить её гвоздями через хэш в конфиге установщика?

     
     
  • 4.24, Аноним (17), 16:30, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую.
     
     
  • 5.27, YetAnotherOnanym (ok), 19:24, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в свеженьких?
     
     
  • 6.28, Аноним (17), 19:30, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для этого делают форк потому что оригинальный автор nowhere to be found.
     
     
  • 7.32, YetAnotherOnanym (ok), 01:14, 14/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для
    > этого делают форк потому что оригинальный автор nowhere to be found.

    Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность работы в нашей аппликухе и снова прибили гвоздями проверенную версию в конфиге инсталлера.

     
  • 4.33, Онаним (?), 07:24, 14/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что там crowd coding.
    Миллионы мух пытаются собрать из говна и палок собственные проекты.
     
  • 2.31, Аноним (30), 00:43, 14/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какая жесть
    А ведь это раздольное поле
    Существуют миллионы хостов в интернете и любой может быть контролируемым мошенниками
    Если голову не включать, то пиши пропало ...
     

  • 1.12, _kp (ok), 11:56, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще такой "вредоносный" код обычное дело при отладке с нескольких разных машин.
    Автору достаточно было задокументировать это.
     
  • 1.20, Аноним (20), 13:21, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вполне ожидаемо. Не npmом единым.
     
  • 1.21, Аноним (21), 15:51, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe

    Это не все вредоносные. Там по сути всё вредительство.

     
  • 1.22, Аноним (22), 16:11, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Происки злых пыхарей, не иначе!
    Баттхертят, что пистончик самый популярный и не дырявый практически. В отличии от... Дыр найти не осилили, так диверсию устроили. Это так... по пхпшному.
     
     
  • 2.35, Аноним (35), 09:31, 14/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Питону никогда не стать столь же распространённым по количеству внедрений как php. Не востребован. Люди хотят готовые решения типа Wordpress, а на питоне их нет. Да и производительность у питона никакая по сравнению с php.
     

  • 1.29, Hck3r (?), 21:36, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Он один из авторов. Вообще оригинальную версию выложил Aldo Cortesi
    Потом уже там целое коммьюнити вокруг этого пакета образавалось
     
  • 1.36, Ракамакафон Генкбенков (?), 11:04, 14/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не ну а чо, переиминуй зафаршмаченную вирьём сборку винды от толяна на "ШИНДОВС-12 нью спешал эдишан", слей это г-но на торрент и афигеешь сколько модников качнет этат скам. Тут так-же, основы С_И же чо..
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру