forum.opennet.ru - "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." (72)

"В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
Сообщение от opennews (??), 04-Дек-19, 10:17
В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов, на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время, проблемные пакеты уже удалены из каталога PyPI... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51975
Ответить \| Правка \| Cообщить модератору

Оглавление

жадность фраера сгубила, z (??), 10:17 , 04-Дек-19, (1) +2

да, а ведь шел пацанчик к успеху Впрочем, глядя на свой сервер, где dateutil ест, пох. (?), 10:30 , 04-Дек-19, (5) –2

День через день новости о уязвимостях и вредоносах Сейчас говорят во фряхе сд, Анонимчик (?), 10:25 , 04-Дек-19, (4) –10

Ты совсем поехавший Каким боком тут линукс Лично я чувствую себя куда спокойне, Аноним (6), 10:30 , 04-Дек-19, (6) +5
да-а-а, поравалить, на б-жественной-то десяточке искать ssh и pgp ключи да ещ, пох. (?), 10:31 , 04-Дек-19, (7)

Большинство компрометаций инфраструктур так и происходит, внезапно Понятно, что, Аноним (6), 10:35 , 04-Дек-19, (9) +3

тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже надо , fooser (?), 10:51 , 04-Дек-19, (10) +2

С остальными юникс-подобными системами ты можешь рассчитывать лишь на эффект неу, Аноним (6), 11:07 , 04-Дек-19, (13) +2

как будто у линукса нету червей и дыр, хотя речь не о макоси , fooser (?), 11:11 , 04-Дек-19, (16) –6

ты аккуратнее с такими заявами, тут слишком нежные линуксоиды сидят, накидают ми, Аноним (-), 18:01 , 04-Дек-19, (46) –4

А вот такое вообще так каждый день пачками прилетает15 уязвимостей в USB-драйвер, Аноним (-), 18:12 , 04-Дек-19, (47) –7
Примерно тогда же, когда некрософт перешёл на кумулятивные обновления - Эх, ча, Michael Shigorin (ok), 19:47 , 04-Дек-19, (54)
Голословное утверждение, Аноним (58), 20:07 , 04-Дек-19, (58)

Хотя есть ещё эффект нет железа нет проблем , в какой-то мере то тоже работает,, Аноним (6), 11:08 , 04-Дек-19, (14)

тогда нашей инфраструктуре ничего точно не грозит - тут по всем виндам хоть обыщ, пох. (?), 11:37 , 04-Дек-19, (18)

Специально для тебя есть еще десяток пока не обнаруженных пакетов желефиш год л, Урри (?), 12:42 , 04-Дек-19, (23)

И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому что ты крутой, Anonymoustus (ok), 15:23 , 04-Дек-19, (35) +2

гад Потому что я теперь сам не знаю где они лежат - поменял, называетцо, монито, пох. (?), 15:34 , 04-Дек-19, (38)
Ты этим хотел сказать, что желефиш был последним необнаруженным трояном Золотые , Урри (?), 20:09 , 04-Дек-19, (59)

он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не н, пох. (?), 11:58 , 05-Дек-19, (71)

Полон опасностей мирок скриптоязычков The Central Repository таких проблем не им, Аноним (11), 10:56 , 04-Дек-19, (11) +2

При чем тут скриптовые языки В этом вашем расте пилиш любую дичь в build rs и г, SomeBody (??), 12:09 , 04-Дек-19, (20) –2

ты не понял, пацанчик Именно в скриптоязычках особую популярность имеют постмод, Аноним (11), 13:41 , 04-Дек-19, (31) –2

пацанчик, скриптоязычки ли это или нет, но любые репки и каталоги могут пострада, Аноним (45), 17:48 , 04-Дек-19, (45) +5

при всем моем уважении к вебмину, действительно решающему иногда очень актуальну, пох. (?), 12:05 , 05-Дек-19, (72)

Не, пацанчик, этот ты не всосал в чем суть В этих ваших растах все тащится с cra, SomeBody (??), 19:00 , 04-Дек-19, (51) +3

Настолько не имеет что там даже отдельная ссылка прямо на главной Report A Vuln, Аноним (58), 20:12 , 04-Дек-19, (62)

ты отличаешь уязвимость от целенаправленной публикации бэкдорчиков-майнеров в ск, Аноним (11), 00:51 , 05-Дек-19, (67) +1

Блин , Rodegast (ok), 11:06 , 04-Дек-19, (12) –1
А всё просто Пакеты нужно принимать не от имени любого анонимуса, а по паспорту, Аноним (15), 11:11 , 04-Дек-19, (15) +2

Ты на таких условиях готов пакеты размещать Замененные буковки дак ИИ вполне мож, рлла (?), 12:44 , 04-Дек-19, (25)

Да, а иначе зачем предлагать Заигрались в анонимусов в этих ваших интернетах, от, Аноним (15), 15:44 , 04-Дек-19, (41) –1

Нуу для начала зарегистрируйтесь на опеннете, из плюшек -- возможность правки св, Michael Shigorin (ok), 19:49 , 04-Дек-19, (56) +3

А где права Анонимуса Такие подставы должны вычисляется автоматически и уведомля, Аноним (26), 12:55 , 04-Дек-19, (26)

У анонимуса нет никаких прав Потому что права всегда идут в пакете с ответствен, Аноним (15), 15:45 , 04-Дек-19, (44) +1

Во всеобщей декларации прав человека не написано предоставляются только при пре, Урри (?), 20:10 , 04-Дек-19, (60) +1

Как в Debian, что ли , Аноним (65), 23:44 , 04-Дек-19, (65)

Всего лишь две , Аноним (17), 11:35 , 04-Дек-19, (17) +1

дальше - сами ищите Тому кто нашел - осточертело , пох. (?), 15:44 , 04-Дек-19, (42)

не, юзера от программ, установленных из репозитория, защищать не надо там же ма, JL2001 (ok), 11:49 , 04-Дек-19, (19) –1

Это не репозиторий, а помойка , Аноним (21), 12:32 , 04-Дек-19, (21)

Между этими понятиями нет противопоставления Учинение в репозитории помойки не , Аноним (30), 13:34 , 04-Дек-19, (30) +2

Зачем писать мусор У разных репозиториев 8212 разные правила, это очевидно , Аноним (58), 20:22 , 04-Дек-19, (63)

Вспомнити Leftpad , Аноним (22), 12:37 , 04-Дек-19, (22) +3
Любые постмодерируемые пользовательские репозитории, будь то npm, aur, pypi, amo, Аноним (30), 12:43 , 04-Дек-19, (24) +4

Беда в том, что некоторые модные build-системы обращаются к пользовательским реп, Аноним (30), 13:41 , 04-Дек-19, (32)

Как раз в дистрибутивных репозиториях такого ада нет Там ничего не выкачивается, Аноним (65), 23:47 , 04-Дек-19, (66)

Именно перед мэйнтейнерами репозиториев дистрибутивов стоит задача обеспечить а, Аноним (30), 02:23 , 05-Дек-19, (68)

Шел бы ты лучше мешки ворочатьhttps doc rust-lang org cargo reference source-r, SomeBody (??), 19:08 , 06-Дек-19, (76)

Короче на линукс нужен антивирус от таких пакетов Кто нафигачит по быстренькому, Аноним (27), 13:00 , 04-Дек-19, (27) –2

Даю бизнес идею сначала добавляешь такие пакеты в репу а потом сам с ними борешь, Аноним (27), 13:01 , 04-Дек-19, (28)

уже без вас все добавили Осталось побороть , пох. (?), 15:35 , 04-Дек-19, (39) +2

ты уже придумал нейросеть, которая сможет анализировать пакеты как человек , Урри (?), 13:27 , 04-Дек-19, (29) +2

Да, придумал Берём человека, и получаем естественную нейросеть, анализирующую п, Аноним (55), 19:48 , 04-Дек-19, (55) +1

А платить ему чем, бананами , Урри (?), 20:12 , 04-Дек-19, (61)

рупиями Ишь, макака, бананов хочет Банан я и сам съесть могу А так - поработа, пох. (?), 12:11 , 05-Дек-19, (73)

Чо, и никто даже не скажет А вот в CPAN такого не было Ну и да, приятная нов, user90 (?), 15:22 , 04-Дек-19, (34)

Оставь, не лезут своими корявками в б-жественный Перл 8212 и хорошо , Anonymoustus (ok), 15:25 , 04-Дек-19, (36) –2

Но я реально не помню подобных случаев, может быть кто-то знает больше , user90 (?), 15:31 , 04-Дек-19, (37) +1

да как-то неинтересно, видимо, тогда было А может и было - не нашли, потому что, пох. (?), 15:43 , 04-Дек-19, (40)

Как писал великий мудрец древности Брукс, на каждой вахте должен сидеть специаль, Anonymoustus (ok), 18:32 , 04-Дек-19, (49)

И эти люди будут возмущаться судьбой иных какамментов на публичных форумах , Michael Shigorin (ok), 19:51 , 04-Дек-19, (57)

Есть, только никто ещё не нашёл из-за особенностей синтаксиса, Аноним (43), 15:44 , 04-Дек-19, (43) +1

Что и следует ожидать от немодерируемой помойки Поэтому использую питоновые пак, Аноним (48), 18:16 , 04-Дек-19, (48) +1

На родное репо надежды, конечно, побольше Но кто сказал, что там мейнтейнеры пря, Аноним (50), 18:47 , 04-Дек-19, (50) +2

В некоторых проектах просто жопа Захотел я как-то больше года назад собрать O, Аноним (55), 19:46 , 04-Дек-19, (53) –2
Никто не сказал, просто там у них есть такая возможность, а тут 8212 нет , Аноним (58), 20:27 , 04-Дек-19, (64)

python3-dateutil - это в конвенции по именованию дебиана такие имена Злоумышл, Аноним (55), 19:38 , 04-Дек-19, (52) –1

он не ошибся, он как раз надеялся что дебианолюбители по инерции именно такое им, пох. (?), 12:13 , 05-Дек-19, (74)

Тут всё упирается в шрифты В тексте статьи у меня I и l выглядят одинаково, зат, Корец (?), 07:33 , 05-Дек-19, (69) +1
Привязывайте пакеты не к pip, а г гит-репозиториям , Аноним (70), 09:21 , 05-Дек-19, (70)
сам создал, сам разоблачил, и статей настрочил Прям неуловимый Джо непонятные л, Аноним (75), 00:22 , 06-Дек-19, (75) +1

Сообщения [Сортировка по времени | RSS]

1. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от z (??), 04-Дек-19, 10:17

жадность фраера сгубила

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –2 +/–

Сообщение от пох. (?), 04-Дек-19, 10:30

да, а ведь шел пацанчик к успеху.
Впрочем, глядя на свой сервер, где dateutil есть, а желефиши никакой нет - если сам от себя зависимость не поставишь, никто о тебе не позаботится.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –10 +/–

Сообщение от Анонимчик (?), 04-Дек-19, 10:25

День через день новости о уязвимостях и вредоносах... Сейчас говорят во фряхе сделали или делают  возможность грузится с защитой какой-то в уефи, а то я так и не осилил.Надо валить с линукса. Параноиком уже стал черт побери.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +5 +/–

Сообщение от Аноним (6), 04-Дек-19, 10:30

Ты совсем поехавший? Каким боком тут линукс? Лично я чувствую себя куда спокойнее, когда дыры находят и исправляют, чем когда дыры это кого надо дыры, поэтому альтернатив линуксу просто нет. А npm тот же ещё большая помойка, поэтому можешь уже сейчас отказаться от использования браузеров и интернета.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 04-Дек-19, 10:31

да-а-а, поравалить, на б-жественной-то десяточке искать "ssh и pgp ключи" (да еще не в пуссином формате, небось) занятие почти безнадежное.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +3 +/–

Сообщение от Аноним (6), 04-Дек-19, 10:35

>на б-жественной-то десяточке искать "ssh и pgp ключи"
Большинство компрометаций инфраструктур так и происходит, внезапно. Понятно, что вендузятников наду сразу гнать ссаными тряпками, но где ты найдёшь столько работников с линуксом?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от fooser (?), 04-Дек-19, 10:51

тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже надо гнать ссаными тряпками.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Аноним (6), 04-Дек-19, 11:07

> тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже
> надо гнать ссаными тряпками.
С остальными юникс-подобными системами ты можешь рассчитывать лишь на эффект неуловимого джо, это не то. Ну если не считать яблочную продукцию - у неё проприетарная природа и у неё полно червей и дыр, так что не лучше венды.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –6 +/–

Сообщение от fooser (?), 04-Дек-19, 11:11

как будто у линукса нету червей и дыр, хотя речь не о макоси.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

46. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –4 +/–

Сообщение от Аноним (-), 04-Дек-19, 18:01

> как будто у линукса нету червей и дыр, хотя речь не о макоси.
ты аккуратнее с такими заявами, тут слишком нежные линуксоиды сидят, накидают минусов только так
прошло то время, когда винда была более большим peшeтoм чем линукс, сейчас эко система линукс-дистрибов (ядро, сервисы, сетевые службы, днс, почтари) по багам просто бьёт все рекорды
на основе вот этой вот баги вообще ужас был
https://www.opennet.ru/opennews/art.shtml?num=50870
до сих пор кое-где эта дырка эксплуатируется и майнится криптовалютка на серверах дебиана, убунту, сусей, рхелов/центосей.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

47. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –7 +/–

Сообщение от Аноним (-), 04-Дек-19, 18:12

А вот такое вообще так каждый день пачками прилетает
15 уязвимостей в USB-драйверах, поставляемых в ядре Linux
https://www.opennet.ru/opennews/art.shtml?num=51974
Ни в одной винде такого ада не было.
> Андрей Коновалов из компании Google опубликовал отчёт
> о выявлении очередных 15 уязвимостей
> ранее данный исследователь уже сообщал о наличии
> 29 уязвимостей.
15, 29... До этого ещё вродь один испанец штук 20 накопал. Адок прост... да, я понимаю, открытые исходники, все дела, но господи, какой же сырой код внутрях линукса повсеместно...

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

54. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Michael Shigorin (ok), 04-Дек-19, 19:47

> прошло то время, когда винда была более большим peшeтoм чем линукс
Примерно тогда же, когда некрософт перешёл на кумулятивные обновления? ;-)
Эх, чайники.  Даже набрасывать не умеют.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

58. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (58), 04-Дек-19, 20:07

> прошло то время, когда винда была более большим peшeтoм чем линукс
Голословное утверждение

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

14. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (6), 04-Дек-19, 11:08

Хотя есть ещё эффект "нет железа нет проблем", в какой-то мере то тоже работает, конечно.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 04-Дек-19, 11:37

тогда нашей инфраструктуре ничего точно не грозит - тут по всем виндам хоть обыщись - ни pgp ни ssh ключей не найдешь. А найдешь так владелец не поймет, что это и от чего. Разьве что у меня пара, и те не в том формате и не в том месте, где эти чудо-скрипты их будут искать.
Правда, на линуксном сервере их десяток, и примерно от всего, и как раз там где все их и ищут, но это ж линукс, это ж надежно!
(ой, а што ета за pyhton3-dateutil? Наверное, нужное что-та, не буду удалять!)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Урри (?), 04-Дек-19, 12:42

Специально для тебя есть еще десяток пока не обнаруженных пакетов (желефиш год лежал необнаруженным), которые сливают твои виндузятные пароли, кои лежат в почти полностью открытом виде.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Anonymoustus (ok), 04-Дек-19, 15:23

И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому что ты крутой всемирно известный специалист по безопастносте, а все остальные — лохи.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 04-Дек-19, 15:34

> И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому
гад. Потому что я теперь сам не знаю где они лежат - поменял, называетцо, монитор.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

59. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Урри (?), 04-Дек-19, 20:09

Ты этим хотел сказать, что желефиш был последним необнаруженным трояном?
Золотые рыбки наконец научились прямоходячести?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

71. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 05-Дек-19, 11:58

он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не написанные никаких виндовых паролей у нас не сольют. Потому что вовсе не так легко это сделать, как тебе мечтается.
А ваши "гепеге и эсэсхехе" - ну да, разумеется, еще не раз.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

11. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Аноним (11), 04-Дек-19, 10:56

Полон опасностей мирок скриптоязычков.
The Central Repository таких проблем не имеет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –2 +/–

Сообщение от SomeBody (??), 04-Дек-19, 12:09

При чем тут скриптовые языки? В этом вашем расте пилиш любую дичь в build.rs и готово.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –2 +/–

Сообщение от Аноним (11), 04-Дек-19, 13:41

ты не понял, пацанчик. Именно в скриптоязычках особую популярность имеют постмодерируемые скрипто-репозиторьчики со всякими майнерчиками. В серьезных взрослых платформах такого не наблюдаем.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +5 +/–

Сообщение от Аноним (45), 04-Дек-19, 17:48

пацанчик, скриптоязычки ли это или нет, но любые репки и каталоги могут пострадать
> такого не наблюдаем
Malware has been discovered in at least three Arch Linux packages available on AUR (Arch User Repository), the official Arch Linux repository of user-submitted packages.
https://www.bleepingcomputer.com/news/security/malware-found.../
вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -
https://threatpost.com/backdoor-found-in-utility-for-linux/1.../
рекомендую обратить внимание на шок-контент: "nearly a year before its discovery."

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

72. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 05-Дек-19, 12:05

> вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -
при всем моем уважении к вебмину, действительно решающему иногда очень актуальную задачу - ничуть не опаснее именно в силу неуловимости джо - во-первых, как обычно, требовалось немного помочь олбанскому вирусу, включив уникально-редко используемую (используемую ли кем-либо в мире вообще?) фичу, во-вторых, следовало быть не только любителем веб-администрежа, но еще и неимоверно отважным, открыв доступ к фиче и самому вебмину всем желающим.
Лично я не могу похвастаться подобными конфигурациями, как-то ни одной за всю жизнь не держал.
А dateutil - опачки, вот он. Ну да, я его поставил из репо дистрибутива, разумеется, правильный, но это ж мне просто повезло с немодным-несовременным скриптом, не умеющим втянуть полсотни автозависимостей при установке. А майнтейнеру повезло когда-то что он мышкой не скопипастил - неправильный, но очень похожий.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +3 +/–

Сообщение от SomeBody (??), 04-Дек-19, 19:00

Не, пацанчик, этот ты не всосал в чем суть.
В этих ваших растах все тащится с crates.io, каждая минимальная поделка тащит за собой пяток-десяток зависимостей. Так что кукарекать про особенные уязвимости в скриптовых языках иди в свой курятник.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

62. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (58), 04-Дек-19, 20:12

> The Central Repository таких проблем не имеет.
Настолько не имеет что там даже отдельная ссылка прямо на главной: Report A Vulnerability

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

67. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (11), 05-Дек-19, 00:51

ты отличаешь уязвимость от целенаправленной публикации бэкдорчиков-майнеров в скрипто-репозиторьчики типа пипи и инпиэм? Приведи хотя бы один задокументированный случай целенаправленной публикации бэкдора в благословенном The Central Repository. В пипи и инпиэм такое случается постоянно.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

12. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –1 +/–

Сообщение от Rodegast (ok), 04-Дек-19, 11:06

> В настоящее время, проблемные пакеты уже удалены из каталога PyPI.
Блин!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Аноним (15), 04-Дек-19, 11:11

А всё просто. Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.
И ответственность описать. На первый раз можно руку отрубить например.
Не решаются дыры в организации на техническом уровне.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от рлла (?), 04-Дек-19, 12:44

Ты на таких условиях готов пакеты размещать?
Замененные буковки дак ИИ вполне может искать и выдавать список. да можно и скрипт наваять

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –1 +/–

Сообщение от Аноним (15), 04-Дек-19, 15:44

Да, а иначе зачем предлагать?
Заигрались в анонимусов в этих ваших интернетах, отсюда и все проблемы.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

56. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +3 +/–

Сообщение от Michael Shigorin (ok), 04-Дек-19, 19:49

Нуу для начала зарегистрируйтесь на опеннете, из плюшек -- возможность правки своих комментариев в течение получаса, что ли, после отправки.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

26. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (26), 04-Дек-19, 12:55

> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.
А где права Анонимуса?
Такие подставы должны вычисляется автоматически и уведомлять модераторов, администраторов.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

44. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (15), 04-Дек-19, 15:45

> А где права Анонимуса?
У анонимуса нет никаких прав. Потому что права всегда идут в пакете с ответственностью. А коли анонимус ответственность нести не желает, какие ему права?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

60. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Урри (?), 04-Дек-19, 20:10

Во всеобщей декларации прав человека не написано "предоставляются только при предьявлении паспорта".
Совсем уже опеннет оглупел.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

65. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (65), 04-Дек-19, 23:44

> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.
Как в Debian, что ли?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (17), 04-Дек-19, 11:35

Всего лишь две?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 04-Дек-19, 15:44

> Всего лишь две?
дальше - сами ищите. Тому кто нашел - осточертело.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –1 +/–

Сообщение от JL2001 (ok), 04-Дек-19, 11:49

не, юзера от программ, установленных из репозитория, защищать не надо! там же мантейнеры!! всё надёжно! цифровые подписи на пакетах!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (21), 04-Дек-19, 12:32

Это не репозиторий, а помойка.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Аноним (30), 04-Дек-19, 13:34

Между этими понятиями нет противопоставления. Учинение в репозитории помойки не лишает последний возможности называться репозиторием.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

63. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (58), 04-Дек-19, 20:22

Зачем писать мусор? У разных репозиториев — разные правила, это очевидно.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +3 +/–

Сообщение от Аноним (22), 04-Дек-19, 12:37

Вспомнити Leftpad!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +4 +/–

Сообщение от Аноним (30), 04-Дек-19, 12:43

Любые постмодерируемые пользовательские репозитории, будь то npm, aur, pypi, amo, googleplay, crates.io и т.п. имеют подобные проблемы, следует по возможности их избегать и использовать репозитории с премодерацией, либо вообще с добавлением пакетов исключительно командой мэйнтейнеров, как сделано в большинстве дистрибутивов linux и bsd.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (30), 04-Дек-19, 13:41

Беда в том, что некоторые модные build-системы обращаются к пользовательским репозиториям и качают из них зависимости безальтернативно, по сути лишая разработчиков возможности огородиться от потенциально творящегося там беспредела. А для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

66. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (65), 04-Дек-19, 23:47

> для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.
Как раз в дистрибутивных репозиториях такого ада нет. Там ничего не выкачивается со стороны при сборке.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

68. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (30), 05-Дек-19, 02:23

Именно: перед мэйнтейнерами репозиториев дистрибутивов стоит задача обеспечить автономную сборку софта. В то время как используемая софтом на rust build-система, cargo, в доску сетевая и в принципе не имеет ключей для сборки без обращений к своему репозиторию. Вот как пакетировать такой софт? Патчить cargo для отрезания сетевой активности и совать ему архивы?

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

76. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от SomeBody (??), 06-Дек-19, 19:08

Шел бы ты лучше мешки ворочать
https://doc.rust-lang.org/cargo/reference/source-replacement...

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

27. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –2 +/–

Сообщение от Аноним (27), 04-Дек-19, 13:00

Короче на линукс нужен антивирус от таких пакетов. Кто нафигачит по быстренькому на баше?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (27), 04-Дек-19, 13:01

Даю бизнес идею сначала добавляешь такие пакеты в репу а потом сам с ними борешься антивирусом.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от пох. (?), 04-Дек-19, 15:35

> Даю бизнес идею сначала добавляешь такие пакеты в репу
уже без вас все добавили. Осталось побороть.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Урри (?), 04-Дек-19, 13:27

ты уже придумал нейросеть, которая сможет анализировать пакеты как человек?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

55. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (55), 04-Дек-19, 19:48

Да, придумал. Берём человека, и получаем естественную нейросеть, анализирующую пакеты как человек.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

61. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Урри (?), 04-Дек-19, 20:12

А платить ему чем, бананами?

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

73. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 05-Дек-19, 12:11

рупиями. Ишь, макака, бананов хочет. Банан я и сам съесть могу. А так - поработает недельку, заработает на тарелку далбата, может быть.
Почем они там капчу разгадывают - доллар за сотню, или уже дешевле?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

34. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от user90 (?), 04-Дек-19, 15:22

Чо, и никто даже не скажет "А вот в CPAN такого не было"??
Ну и да, приятная новость, одних петон-скрипт-кидди поимели другие, эх!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –2 +/–

Сообщение от Anonymoustus (ok), 04-Дек-19, 15:25

Оставь, не лезут своими корявками в б-жественный Перл — и хорошо.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от user90 (?), 04-Дек-19, 15:31

Но я реально не помню подобных случаев, может быть кто-то знает больше?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 04-Дек-19, 15:43

> Чо, и никто даже не скажет "А вот в CPAN такого не
> было"??
да как-то неинтересно, видимо, тогда было. А может и было - не нашли, потому что никто отродясь и не искал.
Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

49. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Anonymoustus (ok), 04-Дек-19, 18:32

> Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.
Как писал великий мудрец древности Брукс, на каждой вахте должен сидеть специально обученный вахтёр с бейджиком.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

57. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Michael Shigorin (ok), 04-Дек-19, 19:51

И эти люди будут возмущаться судьбой иных какамментов на публичных форумах... :)

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

43. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (43), 04-Дек-19, 15:44

> Чо, и никто даже не скажет "А вот в CPAN такого не было"??
Есть, только никто ещё не нашёл из-за особенностей синтаксиса

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (48), 04-Дек-19, 18:16

Что и следует ожидать от немодерируемой помойки. Поэтому использую питоновые пакеты только из родного репозитория дистрибуива.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +2 +/–

Сообщение от Аноним (50), 04-Дек-19, 18:47

На родное репо надежды, конечно, побольше.
Но кто сказал, что там мейнтейнеры прям внимательно погладявают, а не просто бампают циферку?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –2 +/–

Сообщение от Аноним (55), 04-Дек-19, 19:46

В некоторых проектах просто жопа. Захотел я как-то (больше года назад) собрать OpenWRT. И отложил кучу - часть зависимостей качается по небезопасному каналу - FTP. И не проверяется подпись/хеш.
Мораль:
1. не собирайте OpenWRT и не используйте эту поделку. Если кого-то из-за этого заразили малварью, внедрив её в незашифрованный канал, то вина тут в том числе проекта OpenWRT.
2. нужен строгий запрет всех сайтов без  TLS в браузерах, чтобы добить эту заразу, когда они хостят без TLS, а другие - качают это и выполняют.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

64. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (58), 04-Дек-19, 20:27

Никто не сказал, просто там у них есть такая возможность, а тут — нет.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." –1 +/–

Сообщение от Аноним (55), 04-Дек-19, 19:38

"python3-dateutil" - это в конвенции по именованию дебиана такие имена. Злоумышленник видимо репозиторием ошибся.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от пох. (?), 05-Дек-19, 12:13

он не ошибся, он как раз надеялся что дебианолюбители по инерции именно такое имя и наберут, или просто найдут поиском и не заметят ничего необычного.
Спалили, гады :-(

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

69. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Корец (?), 05-Дек-19, 07:33

>"I" (i) вместо "l" (L)
Тут всё упирается в шрифты. В тексте статьи у меня I и l выглядят одинаково, зато в поле ввода(где я писал этот комментарий) и в терминале эти буквы отличаются(I выглядит как положено). Так что можно сказать, что это "уязвимость" в шрифтах.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +/–

Сообщение от Аноним (70), 05-Дек-19, 09:21

Привязывайте пакеты не к pip, а г гит-репозиториям.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..." +1 +/–

Сообщение от Аноним (75), 06-Дек-19, 00:22

сам создал, сам разоблачил, и статей настрочил. Прям неуловимый Джо.
непонятные либы с кривыми именами которые фиг случайно напечатаеш и фиг где найдеш если не по прямой ссылке.
1) в гугле их нету, толко ссылки на сплашные разоблачения.
2) а хакер скромяга. jellyfish 1к звезд, популярность либы выше крыши, целый год ночами не спал думал что же выбрать дальше.
3) тайпсквоттинга - нуда - случайно набил вместо l  sift+i , это болезнь паркинсона такая?
python3-dateutil - а тут python3 тоже случайно?
4) "данные для проектов PyCharm", WTF? что бы что? не ну серьезно
у человека полный доступ к компу а он не рута брутит а настройки папок тащит?
ну а че все в семью
это ж где такие ССЗБ водяться чтобы такие опечатки делать.
помойму очевидно - британские ученые осваивют питон.
вот если бы этих исследователей
"было размещено 214 подставных пакетов"
https://www.opennet.ru/opennews/art.shtml?num=44576
во время эксперемента - разоблочил их колега по цеху - то была бы группа хакеров а не исследователей.
а согласитесь, ведь неплохой ведь способ попиариться?
(тему хакинга пока еще не обсосали ифо/крипто цигане)
в общем бред сивой кобылы - ждем продолжение украл урку 2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+2 +/–
Сообщение от z (??), 04-Дек-19, 10:17
жадность фраера сгубила
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–2 +/–
	Сообщение от пох. (?), 04-Дек-19, 10:30
	да, а ведь шел пацанчик к успеху. Впрочем, глядя на свой сервер, где dateutil есть, а желефиши никакой нет - если сам от себя зависимость не поставишь, никто о тебе не позаботится.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

4. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–10 +/–
Сообщение от Анонимчик (?), 04-Дек-19, 10:25
День через день новости о уязвимостях и вредоносах... Сейчас говорят во фряхе сделали или делают возможность грузится с защитой какой-то в уефи, а то я так и не осилил.Надо валить с линукса. Параноиком уже стал черт побери.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+5 +/–
	Сообщение от Аноним (6), 04-Дек-19, 10:30
	Ты совсем поехавший? Каким боком тут линукс? Лично я чувствую себя куда спокойнее, когда дыры находят и исправляют, чем когда дыры это кого надо дыры, поэтому альтернатив линуксу просто нет. А npm тот же ещё большая помойка, поэтому можешь уже сейчас отказаться от использования браузеров и интернета.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от пох. (?), 04-Дек-19, 10:31
	да-а-а, поравалить, на б-жественной-то десяточке искать "ssh и pgp ключи" (да еще не в пуссином формате, небось) занятие почти безнадежное.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	9. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+3 +/–
	Сообщение от Аноним (6), 04-Дек-19, 10:35
	>на б-жественной-то десяточке искать "ssh и pgp ключи" Большинство компрометаций инфраструктур так и происходит, внезапно. Понятно, что вендузятников наду сразу гнать ссаными тряпками, но где ты найдёшь столько работников с линуксом?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+2 +/–
	Сообщение от fooser (?), 04-Дек-19, 10:51
	тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже надо гнать ссаными тряпками.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	13. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+2 +/–
	Сообщение от Аноним (6), 04-Дек-19, 11:07
	> тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже > надо гнать ссаными тряпками. С остальными юникс-подобными системами ты можешь рассчитывать лишь на эффект неуловимого джо, это не то. Ну если не считать яблочную продукцию - у неё проприетарная природа и у неё полно червей и дыр, так что не лучше венды.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	16. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–6 +/–
	Сообщение от fooser (?), 04-Дек-19, 11:11
	как будто у линукса нету червей и дыр, хотя речь не о макоси.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	46. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–4 +/–
	Сообщение от Аноним (-), 04-Дек-19, 18:01
	> как будто у линукса нету червей и дыр, хотя речь не о макоси. ты аккуратнее с такими заявами, тут слишком нежные линуксоиды сидят, накидают минусов только так прошло то время, когда винда была более большим peшeтoм чем линукс, сейчас эко система линукс-дистрибов (ядро, сервисы, сетевые службы, днс, почтари) по багам просто бьёт все рекорды на основе вот этой вот баги вообще ужас был https://www.opennet.ru/opennews/art.shtml?num=50870 до сих пор кое-где эта дырка эксплуатируется и майнится криптовалютка на серверах дебиана, убунту, сусей, рхелов/центосей.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	47. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–7 +/–
	Сообщение от Аноним (-), 04-Дек-19, 18:12
	А вот такое вообще так каждый день пачками прилетает 15 уязвимостей в USB-драйверах, поставляемых в ядре Linux https://www.opennet.ru/opennews/art.shtml?num=51974 Ни в одной винде такого ада не было. > Андрей Коновалов из компании Google опубликовал отчёт > о выявлении очередных 15 уязвимостей > ранее данный исследователь уже сообщал о наличии > 29 уязвимостей. 15, 29... До этого ещё вродь один испанец штук 20 накопал. Адок прост... да, я понимаю, открытые исходники, все дела, но господи, какой же сырой код внутрях линукса повсеместно...
	Ответить \| Правка \| ^ к родителю #46 \| Наверх \| Cообщить модератору


	54. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от Michael Shigorin (ok), 04-Дек-19, 19:47
	> прошло то время, когда винда была более большим peшeтoм чем линукс Примерно тогда же, когда некрософт перешёл на кумулятивные обновления? ;-) Эх, чайники. Даже набрасывать не умеют.
	Ответить \| Правка \| ^ к родителю #46 \| Наверх \| Cообщить модератору


	58. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от Аноним (58), 04-Дек-19, 20:07
	> прошло то время, когда винда была более большим peшeтoм чем линукс Голословное утверждение
	Ответить \| Правка \| ^ к родителю #46 \| Наверх \| Cообщить модератору


	14. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от Аноним (6), 04-Дек-19, 11:08
	Хотя есть ещё эффект "нет железа нет проблем", в какой-то мере то тоже работает, конечно.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	18. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от пох. (?), 04-Дек-19, 11:37
	тогда нашей инфраструктуре ничего точно не грозит - тут по всем виндам хоть обыщись - ни pgp ни ssh ключей не найдешь. А найдешь так владелец не поймет, что это и от чего. Разьве что у меня пара, и те не в том формате и не в том месте, где эти чудо-скрипты их будут искать. Правда, на линуксном сервере их десяток, и примерно от всего, и как раз там где все их и ищут, но это ж линукс, это ж надежно! (ой, а што ета за pyhton3-dateutil? Наверное, нужное что-та, не буду удалять!)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	23. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от Урри (?), 04-Дек-19, 12:42
	Специально для тебя есть еще десяток пока не обнаруженных пакетов (желефиш год лежал необнаруженным), которые сливают твои виндузятные пароли, кои лежат в почти полностью открытом виде.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	35. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+2 +/–
	Сообщение от Anonymoustus (ok), 04-Дек-19, 15:23
	И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому что ты крутой всемирно известный специалист по безопастносте, а все остальные — лохи.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	38. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от пох. (?), 04-Дек-19, 15:34
	> И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому гад. Потому что я теперь сам не знаю где они лежат - поменял, называетцо, монитор.
	Ответить \| Правка \| ^ к родителю #35 \| Наверх \| Cообщить модератору


	59. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от Урри (?), 04-Дек-19, 20:09
	Ты этим хотел сказать, что желефиш был последним необнаруженным трояном? Золотые рыбки наконец научились прямоходячести?
	Ответить \| Правка \| ^ к родителю #35 \| Наверх \| Cообщить модератору


	71. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от пох. (?), 05-Дек-19, 11:58
	он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не написанные никаких виндовых паролей у нас не сольют. Потому что вовсе не так легко это сделать, как тебе мечтается. А ваши "гепеге и эсэсхехе" - ну да, разумеется, еще не раз.
	Ответить \| Правка \| ^ к родителю #59 \| Наверх \| Cообщить модератору

11. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+2 +/–
Сообщение от Аноним (11), 04-Дек-19, 10:56
Полон опасностей мирок скриптоязычков. The Central Repository таких проблем не имеет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	20. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–2 +/–
	Сообщение от SomeBody (??), 04-Дек-19, 12:09
	При чем тут скриптовые языки? В этом вашем расте пилиш любую дичь в build.rs и готово.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	31. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–2 +/–
	Сообщение от Аноним (11), 04-Дек-19, 13:41
	ты не понял, пацанчик. Именно в скриптоязычках особую популярность имеют постмодерируемые скрипто-репозиторьчики со всякими майнерчиками. В серьезных взрослых платформах такого не наблюдаем.
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	45. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+5 +/–
	Сообщение от Аноним (45), 04-Дек-19, 17:48
	пацанчик, скриптоязычки ли это или нет, но любые репки и каталоги могут пострадать > такого не наблюдаем Malware has been discovered in at least three Arch Linux packages available on AUR (Arch User Repository), the official Arch Linux repository of user-submitted packages. https://www.bleepingcomputer.com/news/security/malware-found.../ вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish - https://threatpost.com/backdoor-found-in-utility-for-linux/1.../ рекомендую обратить внимание на шок-контент: "nearly a year before its discovery."
	Ответить \| Правка \| ^ к родителю #31 \| Наверх \| Cообщить модератору


	72. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от пох. (?), 05-Дек-19, 12:05
	> вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish - при всем моем уважении к вебмину, действительно решающему иногда очень актуальную задачу - ничуть не опаснее именно в силу неуловимости джо - во-первых, как обычно, требовалось немного помочь олбанскому вирусу, включив уникально-редко используемую (используемую ли кем-либо в мире вообще?) фичу, во-вторых, следовало быть не только любителем веб-администрежа, но еще и неимоверно отважным, открыв доступ к фиче и самому вебмину всем желающим. Лично я не могу похвастаться подобными конфигурациями, как-то ни одной за всю жизнь не держал. А dateutil - опачки, вот он. Ну да, я его поставил из репо дистрибутива, разумеется, правильный, но это ж мне просто повезло с немодным-несовременным скриптом, не умеющим втянуть полсотни автозависимостей при установке. А майнтейнеру повезло когда-то что он мышкой не скопипастил - неправильный, но очень похожий.
	Ответить \| Правка \| ^ к родителю #45 \| Наверх \| Cообщить модератору


	51. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+3 +/–
	Сообщение от SomeBody (??), 04-Дек-19, 19:00
	Не, пацанчик, этот ты не всосал в чем суть. В этих ваших растах все тащится с crates.io, каждая минимальная поделка тащит за собой пяток-десяток зависимостей. Так что кукарекать про особенные уязвимости в скриптовых языках иди в свой курятник.
	Ответить \| Правка \| ^ к родителю #31 \| Наверх \| Cообщить модератору


	62. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+/–
	Сообщение от Аноним (58), 04-Дек-19, 20:12
	> The Central Repository таких проблем не имеет. Настолько не имеет что там даже отдельная ссылка прямо на главной: Report A Vulnerability
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	67. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+1 +/–
	Сообщение от Аноним (11), 05-Дек-19, 00:51
	ты отличаешь уязвимость от целенаправленной публикации бэкдорчиков-майнеров в скрипто-репозиторьчики типа пипи и инпиэм? Приведи хотя бы один задокументированный случай целенаправленной публикации бэкдора в благословенном The Central Repository. В пипи и инпиэм такое случается постоянно.
	Ответить \| Правка \| ^ к родителю #62 \| Наверх \| Cообщить модератору

12. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	–1 +/–
Сообщение от Rodegast (ok), 04-Дек-19, 11:06
> В настоящее время, проблемные пакеты уже удалены из каталога PyPI. Блин!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

15. "В каталоге Python-пакетов PyPI выявлены две вредоносные библ..."	+2 +/–
Сообщение от Аноним (15), 04-Дек-19, 11:11
А всё просто. Пакеты нужно принимать не от имени любого анонимуса, а по паспорту. И ответственность описать. На первый раз можно руку отрубить например. Не решаются дыры в организации на техническом уровне.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору