https://www.opennet.ru/openforum/vsluhforumID3/112242.html Центр национальной компьютерной безопасности Словакии опубликовал (http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/) уведомление о выявлении 10 вредоносных пакетов в каталоге PyPI (https://pypi.python.org). Имена вредоносных пакетов выбраны похожими на популярные Python-библиотеки, но отличаются незаметными сразу деталями. Например, вредоносные пакеты urllib и urlib3 камуфлируют под известную библиотеку urllib3. Примечательно, что используемый при создании данных модулей метод тайпсквотинга (https://www.opennet.ru/opennews/art.shtml?num=44576) известен уже давно, в том числе в PyPI ранее уже размещался и удалялся вредоносный пакет с именем urllib, но какой-либо защиты от повторной регистрации предпринято не было.<br><br><br>Распространяющие вредоносные пакеты злоумышленники рассчитывают на невнимательность разработчиков, которые по недосмотру устанавливают фиктивные пакеты (например, более логичным выглядит поставить urllib и bzip вместо настоящих urllib3 и bzip2). Периодически после жалоб пользователем вредоносные п https://www.opennet.ru/openforum/vsluhforumID3/112242.html#30 Sat, 23 Sep 2017 16:40:52 GMT &gt; Не работает: <br>&gt; no such option: --format <br>&gt; [/code] <br><br>[CODE]pip install --upgrade pip[/CODE] -- https://duckduckgo.com/?q=pip+update+pip&t=ffab&ia=qa<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#29 Sat, 23 Sep 2017 11:12:00 GMT Не работает:<br>[code]<br>pip list --format=legacy &#124; egrep '^(acqusition&#124;apidev-coop&#124;bzip&#124;crypt&#124;django-server&#124;pwd&#124;setup-tools&#124;telnet&#124;urlib3&#124;urllib) '<br><br>Usage: <br> pip list [options]<br><br>no such option: --format<br>[/code]<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#28 Mon, 18 Sep 2017 21:17:03 GMT &gt; именно поэтому следует ставить из гитхаба, а не из pip <br><br>Тонко. Но ты ж знал[I]? http://www.opennet.ru/opennews/art.shtml?num=47216<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#27 Mon, 18 Sep 2017 16:18:15 GMT именно поэтому следует ставить из гитхаба, а не из pip<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#26 Sun, 17 Sep 2017 23:37:08 GMT "Я слышал много д---льных рэперских кличек, но Энди Картрайт..." (с)<br><br>Блин, более невменяемые названия пакетов просто сложно придумать.<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#25 Sun, 17 Sep 2017 13:54:53 GMT Рейтинг и так есть. Суть же в том, что пакеты через браузер качают чуть реже чем никогда, всё из setup.py и pip.<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#24 Sat, 16 Sep 2017 22:55:52 GMT Линукс безопасен благодаря честным хакерам, которые выкладывают безопасные вирусы =)<br>ЗЫ: могли бы сразу несколько имен для пакета регистрировать., ну или рейтинг закачек хотя бы показывать<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#23 Sat, 16 Sep 2017 18:10:29 GMT &gt; А продакшн не терпит.<br><br>Смузи не ждет!<br> https://www.opennet.ru/openforum/vsluhforumID3/112242.html#21 Sat, 16 Sep 2017 13:06:54 GMT Ожидал "установка пакетов только из дистрибутива баттл", аноны огорчают<br>