URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128874
[ Назад ]
Исходное сообщение
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты"
Отправлено opennews , 08-Ноя-22 14:11 
В каталоге PyPI (Python Package Index) выявлено 26 вредоносных пакетов, содержащих в скрипте setup.py обфусцированный код, определяющий наличие идентификаторов криптокошельков в буфере обмена и меняющий их на кошелёк злоумышленника (предполагается, что при совершении оплаты жертва не заметит, что перенесённый через буфер обмена номер кошелька отличается)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58067

Содержание
Сообщения в этом обсуждении
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено dullish , 08-Ноя-22 14:11 
>кражу криптовалюты

Ох уж эта легаси...

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:52 
> код, определяющий наличие идентификаторов криптокошельков в буфере обмена и меняющий их на кошелёк злоумышленника

разве это кража...

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено InuYasha , 08-Ноя-22 14:12 
Превратили реп PYPL в филиал PaYPaL.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 14:13 
NPM-карго-культ даже до питона добрался. Что же теперь делать местным экспертам? Куда бежать?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено onanim , 08-Ноя-22 14:19 
в очевидные rust crates
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 14:21 
На лисп.
А пакеты ставить по-нормальному - через ./configure, make и make install, если и делать качалку пакетов - то над VCS.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 15:04 
И как потом выковыривать артефакты всей этой твоей make install из системы при удалении? Почему нельзя придумать метод установки, которые не за..хламляет всю систему вдоль и поперек? Почему нельзя было это придумать сразу, а не выдумывать все эти чекинстал, пакеты, контейнеры и другую дичь?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 15:24 
> И как потом выковыривать [...] при удалении?

1. make uninstall
2. make DESTDIR=... install и опакечивание

> Почему нельзя придумать метод установки, [...] не выдумывать все эти [...] пакеты

Ради интереса: чем не устраивают пакеты и как организовать установку софта лучше, чем через пакеты?

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:55 
> make DESTDIR=... install и опакечивание

называется checkinstall

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:57 
> метод установки ... , а не выдумывать все эти чекинстал, пакеты, контейнеры и другую дичь

предложи свою дичь - оценим, дадим советы...

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:14 
Почему же нельзя? В NixOS такое давно есть и всё отлично работает, в том числе в проде. Но кто ж осилил?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 06:48 
Уже ведь придумали. Flatpak и Snap и docker
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено kusb , 08-Ноя-22 17:29 
./configure --disable-wallet-collector
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:47 
Как там пакетная система будет работать после make install? Как быстро сломается? Что думают по этому поводу местные эксперты-линукс-администраторы?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 18:20 
Прекрасно кстати, если бинари внезапно пересекутся конечно предупредит, но вообще этого ни разу не случилось и вся установка идёт в /usr/local. Только так и живу на самом деле. Вот тебе оценка опеннет-эксперта. Правда, удалять и обновлять немного неудобно -- без старых исходников только через rm -rf и постоянно новые файлы с каждым обновлением появляются, а старые куда-то перемещают, что создаёт определённые неудобства. Однако, линукс позволяет это делать совершенно без проблем.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 06:44 
Очень хорошо, особенно хорошо будет /etc, /lib/, /usr/share и прочим куда make install запишет свои файлы поверх управляемых менеджером пакетов.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 11:56 
make install туда не пишет, он пишет в perfix.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 22:01 
> make install

man checkinstall

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 22:07 
Оно сначала меняет системные файлы, а потом пытается сделать из этого пакет.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 22:37 
Не пиши чушь

--install Toggle installation of the created package

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 06:38 
И чем же ты опроверг мой слова, очередной анонимный эксперт?
Ключём который заставит установить пакет поверх уже установленных make install файлов?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 12:07 
Он отслеживает все изменения.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 14:15 
поэтому этот пип нужно запускать исключительно из песочницы. Как и нпм. Как и IDE, потому что IDE обычно запускает все подряд, если нажать на "Доверяю этому проекту". А если не нажать, IDE превращается в нотепад.экзе.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 15:05 
Всё нормальные люди уже 33 миллиона лет запускают всё через докер, в том числе в интерактивном режиме. Изоляция может и не полная, но приемлемая.  
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 15:28 
> Всё нормальные люди уже 33 миллиона лет запускают всё через докер [...] Изоляция [...] приемлемая

Приемлемая изоляция - это, видимо, на выбор либо запуск из-под рута, либо через переусложнённый механизм, в котором с завидным постоянством находят всё новые уязвимости.

Или докер ещё как-то умеет?

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 18:33 
Earthly
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 12:09 
Нет, приемлемая изоляция — это защищающая от проблем описанных в этой новости.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Zero , 08-Ноя-22 16:29 
>Всё нормальные люди уже 33 миллиона лет запускают всё через докер

Это через тот докер, который еще и фаервол самостоятельно настраивать пытается? Нафиг такие изоляции.

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:16 
Жаль, конечно, что ты буквы не проходил ещё в школе, а то мог бы прочитать в документации, какой опцией отключить докеру фаерволл.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Zero , 08-Ноя-22 17:33 
>Жаль, конечно, что ты буквы не проходил ещё в школе, а то мог бы прочитать в документации, какой опцией отключить докеру фаерволл.

Я и не должен читать эту документацию. Докер вообще доступа к файерволу иметь не должен. Ни под каким предлогом. Это файервол - одна из ключевых систем защиты системы. Если все программы подряд начнут его изменять, то зачем он тогда вообще нужен?

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 12:10 
Никто тебе не запрещает запускать docker в отдельной виртуалке.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Шарп , 08-Ноя-22 14:35 
>и реализован для браузеров Chrome, Edge и Brave.

Пользователей фурифокса записали в нищуки.

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 15:29 
> Пользователей фурифокса записали в нищуки.

Да ладно вам. По сути это означает "для запуска, пожалуйста, установите хром последней версии".

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:05 
В списке форбс есть юзеры фулофокса?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 20:37 
Не удивлюсь, если есть. По рекомендациям их же безопасников
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 20:38 
В Firefox просто так дополнение не подставишь после того как они сделали проверку дополнений по цифровой подписи. К слову, из-за того и сделали проверку, что все кому не лень подсовывали свои дополнения. Речь не только про вредоносы, но и про разные антивирусы и прочую шелуху, которая после своей инсталляции ещё и дополнение подсовывала в браузер, после которого он люто крэшиться начинал и пользователи пинали Mozilla, что это браузер глючит, а не кривое дополнение.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 10-Ноя-22 12:56 
Браузер Епифанцева так вообще с одним пользователем где-то в подвале сидит
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним из консоли , 08-Ноя-22 15:23 
> Выявленные вредоносные пакеты, отправляющие конфиденциальные данные из системы:
> ...
> * fatnoob

А они хороши

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:41 
Какой антивиру установить, название? О клам я знаю.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:53 
Не пора ли задуматся о встроеном в Linux аналога Microsoft Defender Antivirus -> Linux Defender Antivirus?

Microsoft помоги - юмор или не юмор каждый решает сам.

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 18:07 
Есть уже, selinux называется.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 18:17 
Это не то очём я. Как я понял поверхностно глянул что об этом написано как я понял это как = настрой жостке или нужные себе политики безопасности в Windows. Не когда этим не занимался.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 18:37 
Возможно в силинукс больше возможностей чем можно настроить в политиках безопасности в Виндовс для Виндовс не знаю. Надо разбиратся, сравнивать. Но, я не об этом, а а о том, что написал выше.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Варенье , 09-Ноя-22 14:01 
systemd-antivirusd
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:55 
Дорога у дома.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 20:44 
Popoff
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:55 
Пользуйтесь браузерами не поддердивающими дополнений.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 16:59 
Это те которые в консольке оображаются с урезаным до неудобства функционалом. Других без дополнений не знаю. Дополнения это только один вид распространения.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:05 
Я не конкретно к этому случаю о дополнениях. Я вообще о возможностях как завозить в операционные ситемы. Самому в код каждого файла смотреть это не вариант для большенства. Да и меншенству кто понимает что в коде написано тоже не особо вариант в виду обьёма файлов и кода. Мне смотреть в код файлов бесполездно я что там написано непонимаю.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:09 
Одному человеку смотреть в код всехъ файлов что есть в операционной системе не вариант. А 1000, 10 тыс., миллиону человек и т.д уже вариант получше.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:11 
Я знаю как обстоят дела в Windows, десетелетиями использую Win.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:10 
Тебе curl'a не ватает шоли?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:12 
Я даже не знаю что это.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:18 
Я ту на сайте не как програмист, а как самый простой рядовой ползователь Win и Linux только по тем  темам: какие есть опер системы и программы в Linux, что и как обновилось.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:21 
Естествено за два десятилетия использования Win и 7 лет Linux я что-то умею чуть выше среднего, но не больше.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:26 
И усложнять себе жизнь знанеием, что такое курл, перл и т.д не буду это не мой путь в жизни.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:31 
"Пользуйтесь браузерами не поддердивающими дополнений" Это не он тебе ответил это я тебе ответил.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено истина в последней инстанции , 08-Ноя-22 17:36 
Собственно такова судьба всех этих кустарных репозиториев, карги, пипы, нпм и прочая ерунда пришедшая из гнилого вендошного мира
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 12:12 
Умничка! Только корпорации благодаря цензуре и запретам смогут защитить нас от вирусов!
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 17:40 
>pip
>Подмену выполняет сценарий JavaScript

Yo dawg, we heard you like smoothie, to we inserted JS into your pip and your Python into your smoothie, so you can enjoy when you enjoying.

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 18:58 
> и реализован для браузеров Chrome, Edge и Brave.

Не, ну вы только посмотрите! Mozilla ещё венчурный фонд свой не завела в полную силу, а подмётки уже на ходу рвут.

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 20:55 
Статья есть, а что теперь с этим делать - не сказано. Решение-то какое.
Не скачивать PyPI ?  Скачивать, но не устанавливать? Скачивать и устанавливать, но сначала проверить антивирусом.
А то статья похожа на ситуацию: "В городе А построили завод Б. А я в окно смотрю."
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Онаним. , 08-Ноя-22 22:24 
В смысле, что с этим делать.
Что с этим делать - уже давным-давно понятно.
Ну, всем, кто хочет понимать.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 12:15 
> тайпсквотинг

Решение такое же как и всегда — не использовать не тот код.

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Anonymus , 08-Ноя-22 21:09 
>которое было отделено большим числом пробелов, чтобы вывести вызов
>__import__ за пределы видимой области в текстовом редакторе.

А горизонтальная полоса прокрутки не смущает тех, у кого в редакторе не включён автоперенос длинных строк?

"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Онаним. , 08-Ноя-22 21:32 
Их не смущает даже значимость количества пробелов, а вы им про какие-то полосы прокрутки.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Онаним. , 08-Ноя-22 21:31 
Ну и фиг с ним, любители тянуть в рот сразу свеженькое могут наслаждаться.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 08-Ноя-22 21:58 
а вот попробуй проверить все зависимости к растокрейтах, которые вытягиваются при компиляции...
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Онаним. , 08-Ноя-22 22:23 
В тот же тазик.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 07:13 
Ты же не разработчик на python тебя это не касается
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено darkshvein , 08-Ноя-22 21:51 
что делает JavaScript в питон-пакетах?
даёт прикурить питона всем горе-кодерам?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 07:13 
Почему про cpan такого не слышно? Или норот научился делать нехорошее после того как Perl стал терять популярность?
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 09-Ноя-22 13:34 
Я думал пито"няши", а они нацелились на мою крипту... Фу такими быть.
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 11-Ноя-22 03:21 
ты сам всё отдашь
"В репозитории PyPI выявлены вредоносные пакеты, нацеленные н..."
Отправлено Аноним , 11-Ноя-22 04:16 
> перенесённый через буфер обмена
> номер кошелька отличается).

Все правильно сделали, настоящие пито няши данные не проверяют. Что в коде что по жизни.