URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126132
[ Назад ]
Исходное сообщение
"В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки "
Отправлено opennews , 13-Дек-21 16:58 
В каталоге PyPI (Python Package Index) выявлены три библиотеки,  содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56337

Содержание
Сообщения в этом обсуждении
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 16:58 
Hahaha, classic…
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 18:30 
> Hahaha, classic…

https://www.opennet.me/opennews/art.shtml?num=48948
> В AUR-репозитории Arch Linux найдено вредоносное ПО
> Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

Да, classic.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 21:04 
Adobe Acrobat не выпускается с 2013 года. Это легаси дыра.  
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 22:15 
>> В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера,
> Adobe Acrobat не выпускается с 2013 года. Это другое!

Ладно, не прошел по ссылке на новость, но хотя бы сначала дочитать до конца и лишь потом писать, что "Это другое!" - не позволяет религия?

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено й , 14-Дек-21 00:35 
да-да, а Adobe Acrobat Reader DC версии 2021.007.20099 на сайт adobe.com подкинули!
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 01:54 
> DC версии ... 2021.007.20099

Не ври, DC - это версия 2015. Support by Adobe ended April 7, 2020.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 17:06 
Это же тот самый PyPI, который "уж точно безопаснее этого вашего npm", верно? Я ничего не перепутал?
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 17:09 
Ну тут хотя бы нельзя выпустить обновление для любого пакета
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 18:26 
> Это же тот самый PyPI, который "уж точно безопаснее этого вашего npm", верно? Я ничего не перепутал?

Кто ж его знает, что тебе голоса в голове нашептали?
В реальности вообще-то наоборот - есть вполне себе коммерческая nmp incorporaed, которой и принадлежит репозиторий npm - в отличии от принадлежащего сообществу PyPi.


"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 18:35 
— А PyPI точно безопаснее npm?
— Вообще-то наоборот: npm инкорпорейтед, а pypi нон-профит.

лол

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 19:41 
> Это же тот самый PyPI, который "уж точно безопаснее этого вашего npm", верно? Я ничего не перепутал?

Источник "Что очерденому опеннетному анониму нашептали Голосов из Розетки, Том MCMLXXIV"?


"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено corvuscor , 13-Дек-21 17:07 
> была загружена часть пакетов PyPI (около 200 тысяч из 330 тысяч пакетов в репозитории), после чего утилитой grep были выделены и проанализированы пакеты, в файле setup.py которых упоминается вызов "import urllib.request", обычно применяемый для отправки запросов к внешним хостам.

Вот это я понимаю юниксвей))

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено ip1982 , 13-Дек-21 21:45 
Учтём. Спасибо!
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Какаянахренразница , 13-Дек-21 17:10 
> выявлены три вредоносные библиотеки

Што ви гаварице?! Нэ может биц!

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено kai3341 , 13-Дек-21 17:13 
Идея фишинга стара, как мир. Поэтому будь то npm, будь то pip -- один хрен я иду уточнять имя библиотеки на официальный сайт

> упоминается вызов "import urllib.request"

А ведь это только верхушка айсберга -- эти пацаны даже не пытаются скрыться

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 17:23 
pip list | grep dpp-client
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено x3who , 14-Дек-21 01:42 
~ $ pip list | grep dpp-client
No command pip found, did you mean:
Command pic in package groff
Command ip in package iproute2
Command php in package php
Command pil in package picolisp
Command pup in package pup
Command ip in package termux-tools
Command zip in package zip
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 16-Дек-21 19:47 
C:\> pip list | grep dpp-client
"pip" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 17:34 
>(около 200 тысяч из 330 тысяч пакетов в репозитории)

Места на жёстком диске не хватило, не иначе.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 17:37 
Хотя нет, видимо я ошибся:

>For this research, I was careful to exclude exceedingly large distributions, only pull the latest versions of packages, and configured a lower number of workers to avoid putting excess pressure on PyPI’s servers.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Чихиро , 13-Дек-21 18:43 
import urllib.request
Господа, вирусописатели, переходим на requests
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 18:54 
Нет. Он тоже синхронный и блокируется. А ещё он плохо скалируется в мультипотоке из-за GIL, много данных не отправишь. Ничем не лучше.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено GG , 14-Дек-21 11:17 
При чём тут GIL?
Скалируется он так же как и любой HTTP: спавни сколько хочешь потоков и отправляй сколько угодно реквестов.

Не влезает в ядро?
Спавни процессы или добавь воркеров в гипервизоре.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 17:18 
GIL тут при том, что эффективность экспоненциально падает с увеличением числа потоков и приходится спавнить значительно более дорогие процессы или использовать какой-нибудь curl не завязанный на гил. Из-за него питон фактически однопоточный и этого для скалирующихся задач не достаточно.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено GG , 14-Дек-21 17:39 
> экспоненциально

Неуд тебе по математике, приходи пересдавать когда выучишь.
От того что у тебя миллион реквестов в ожидании висеть будут поменяется примерно ничего.
Разница с си меньше 10% если руки прямые.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 17:42 
В каком ещё ожидании, ты в себе? Разница с си никогда не будет 10% и в мультипотоке эффективность просто улетает под плинтуса.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Массоны Рептилоиды , 13-Дек-21 18:54 
> import urllib.request
> Господа, вирусописатели, переходим на requests

Мы перешли, нас не нашли

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено kusb , 13-Дек-21 19:28 
pull requests
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 19:00 
Отсылочка к Black Mirror засчитана.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено _dz , 13-Дек-21 19:15 
Какая отсылочка?
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено EuPhobos , 13-Дек-21 19:30 
> Пакет aws-login0tool (3042 загрузки)
> расчёт был сделан на то, что клавиши "0" и "-" находятся рядом

3042 раза программисты прокосили по кнопкам.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено x3who , 14-Дек-21 01:44 
аавтодополнения небось рулят
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 19:52 
> В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки

В каталоге вредоносных библиотек выявлено три пакета...

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 20:06 
В интернете нашли вредоносный код.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 20:41 
Во вредоносном коде нашли интернет.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Онаним , 13-Дек-21 20:53 
/mnt/mesos, говорите
Ряд деввасянов ждут сюрпризы
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено пох. , 13-Дек-21 23:40 
вот тот случай - когда не знал о какой-то ненужной х-не, и дальше лучше и не узнавать.

https://mesos.apache.org/getting-started/ - просто прекрасно.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 21:03 
meson в топку? мне казалось хакеры продвинули питон в линукс чтобы распитонячить системы
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 13-Дек-21 21:07 
Нет для этого продвинули node.js теперь даже маки у фронтенд разработчиков кишат вирусами и майнерами, а те и не в курсе потому что на маке нет вирусов. И антивирус они конечно же ставить не будут.  
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено анонимуслинус , 13-Дек-21 23:44 
вирусы могут быть везде. вот только линь держится еще из-за пока что строгих прав доступа. на маке и винде для удобства считай что их нет. итог мак тоже стал осью для вирусов. кстати линь тоже может легко стать такой осью , если прокладка между монитором и сиденьем довольно тупа. ничто не совершенно. но маки на стары powerG процах были топ машинками, а на интел стали хламом.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено x3who , 14-Дек-21 01:50 
у меня гибко с правами, даже хомяки без noexec монтируются и никакой срани тюфу-тьфу нет.. хотя надо бы маунты пофиксить чот подумалось вдруг.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено GG , 14-Дек-21 11:20 
$ which python3
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Онаним , 14-Дек-21 16:12 
/usr/bin/which: no python3 in (/home/***/.local/bin:/home/***/bin:/home/***/.local/bin:/home/***/bin:/home/***/.local/bin:/home/***/bin:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin)
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Онаним , 13-Дек-21 21:07 
normal.exe
Эти люди что-то знают о пистонистах.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 03:16 
>330000 пакетов
>всего 3 вредоноса

Либо чуствительность поиска крайне низкая, либо pip никому на фиг не нужен. Склоняюсь к первой гипотезе.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено макпыф , 14-Дек-21 14:13 
grep -r "import urllib.request"
вот и весь поиск
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено microcoder , 14-Дек-21 08:20 
А кто-то вообще проверяет код который штампует Open Source сообщество? Ведь там же гигантский код, на миллионы строк в сумме при каждом апдэйте rolling-системы (Arch, Manjaro) или не rolling, но не так часто обновления. Кто это проверяет? Тот кто проверяет компетентен в том, что там вообще бывает написано в этих самых исходниках? Знает все языки, конструкции, парадигмы? Он не подкупен, если что за 30 серебренников? ))) А Линус, разве не может протянуть в ядро бэкдор, троян ради хохмы или ради выгоды? Я понимаю, что некоторые крупные проекты Open Source визируют код прежде чем добавить его в master ветку, но кто этот тот, кто знает и читает весь код и понимает, что там написано? Откуда у него столько времени на чтение кода?
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено пох. , 14-Дек-21 10:34 
> А кто-то вообще проверяет код который штампует Open Source сообщество?

дык, этот, тысячегласс жеж. (Мифическое астральное создание, якобы присматривающее с седьмого неба за всем посвященным шва6одке и лично встолману софтом.)

Ему, правда, что-то давно человеческих жертв не приносили... ты, кстати, вполне подходишь.

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 14:09 
> дык, этот, тысячегласс жеж. (Мифическое астральное создание, якобы присматривающее с седьмого
> неба за всем посвященным шва6одке и лично встолману софтом.)

Просто глаза у него в том же самом месте, что и у поклонников (и глаза и, зачастую, руки) - энергия веры форматирует тысячегласса "по образу и подобию".

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено myhand , 14-Дек-21 14:42 
> дык, этот, тысячегласс жеж.

Т.е. ты готов предъявить тысячи пакетов, которые прописали себе это в зависимости, верно?

> ты, кстати, вполне подходишь.

А ты шо, таки отощщал?

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено PaleMoon , 15-Дек-21 01:07 
Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон институтские пытались в ядро бэкдор впихнуть, были вышвырнуты и потом долго извинялись.
Для не rolling: в RedHat и Canonical люди сидят на зарплате, вот и проверяют.
Ну и уязвимости везде находят.

Вот кому выгодно нарабатывать репутацию годами и потом потерять доверие от злоумышленных действий?
Arch AUR, PIP, NPM  не использует этот механизм

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 15-Дек-21 02:29 
> Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон
> институтские пытались в ядро бэкдор впихнуть, были вышвырнуты

Угу, в фантазиях анонимов ("мotivated reasoning", кажись) оно может так и было, а вот в реальности - немного по другому.

https://www.opennet.me/opennews/art.shtml?num=55095
> Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
> 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

https://lore.kernel.org/lkml/202105051005.49BFABCE@kees.../
> Timeline of events
> 2018:
>  - UMN bug-fix research on Linux kernel starts, and roughly 400 bug-fix
>    patches are contributed over the next two years, mainly centered
>    around specific research papers

т.е. патчи там были пару-тройку лет - 12 патчей даже успели "протухнуть".
"А так - все хорошо, прекрасная маркиза!"(с)

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено microcoder , 14-Дек-21 13:30 
Это всегда так будет, пока любая вещь популярна. Сделали Пайтон популярным - притянули криминал.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 17:28 
Это судьба всех этих pip-ов, npm-ов и каргоф. Это реальность. Можете минусовать. Всё равно реальность не изменить.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 17:50 
> Это судьба всех этих pip-ов, npm-ов и каргоф. Это реальность.

Писать бред - судьба опеннетных анонимных дурачков. Это реальность. Можете минусовать и полыхать. Все равно реальность не изменить.


"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 19:59 
Поддвачну. Сделали язычку одной реализации встроенную помойку с троянами - принимайте последствия. Нормальный язык с таким поставляться не будет.
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено PaleMoon , 15-Дек-21 01:11 
Интересно как Perl CPAN и частично Ruby gems этого избежали?
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 15-Дек-21 11:54 
А они избежали ?
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 15-Дек-21 14:52 
> А они избежали ?

Да нет:
https://www.opennet.me/opennews/art.shtml?num=53448
> В Perl-пакете Module-AutoLoad выявлен вредоносный код
> 29.07.2020 11:27
> В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году.

https://www.opennet.me/opennews/art.shtml?num=52785
> В RubyGems выявлено 724 вредоносных пакета
> 22.04.2020 09:55

Просто "Это другое!"(с)

"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 14-Дек-21 20:00 
Казалось бы, при чём тут Rust?
"В каталоге Python-пакетов PyPI выявлены три вредоносные библ..."
Отправлено Аноним , 15-Дек-21 01:13 
Ага... На расте проектов нету. Совсем.