Администраторы репозитория Python-пакетов PyPI (Python Package Index)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63647

• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Самый Лучший Гусь, 23:00 , 30-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Жироватт, 08:04 , 31-Июл-25
    • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 08:06 , 31-Июл-25
      • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Жироватт, 09:00 , 31-Июл-25
    • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 08:31 , 31-Июл-25
      • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Жироватт, 08:57 , 31-Июл-25
        • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:55 , 31-Июл-25
          • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Эксконтрибутор FreeBSD, 12:46 , 31-Июл-25
            • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 12:49 , 31-Июл-25
            • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним9000, 13:42 , 31-Июл-25
              • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Эксконтрибутор FreeBSD, 14:14 , 31-Июл-25
      • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:49 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Эксконтрибутор FreeBSD, 00:11 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 07:27 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 07:35 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 08:04 , 31-Июл-25
    • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:41 , 31-Июл-25
      • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 11:13 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 08:18 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Эксконтрибутор FreeBSD, 08:36 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Жироватт, 08:42 , 31-Июл-25
    • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 09:04 , 31-Июл-25
    • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 09:53 , 31-Июл-25
      • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:54 , 31-Июл-25
        • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 11:21 , 31-Июл-25
          • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 13:53 , 31-Июл-25
            • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 16:49 , 31-Июл-25
            • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 17:06 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 09:38 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 09:37 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:19 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:46 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 17:09 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 10:56 , 31-Июл-25
• Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Cykooz, 11:15 , 31-Июл-25
  • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Аноним, 13:32 , 31-Июл-25
    • Фишинг-атака на сопровождающих Python-пакеты в репозитории P...,Dzen Python, 20:54 , 31-Июл-25

В принципе от такого никто не застрахован так что просто надо это принять

Хм...
Видимо настройка верификации рассылок типа DKIM/SPF/DMARK оказалась не под силу авторам питоньего репа. Так и запишем

> авторам питоньего репа

Заняты созданием ИИ.

Главное, чтобы потом этот ИИ всё-таки психанул и сел@настроил все эти механизмы безопасности вместо кожаных мешков

Вот на таких и рассчитан фишинг.
Бегло пробежался по тексту и вперед - писать комменты, подтверждать мейл и тд.

> Вот на таких и рассчитан фишинг.

Ага. Дали им механизмы, которые на уровне почтового клиента могут проорать юзеру "pypj <> pypi, у них сертификаты разные, я это письмо получил только сейчас за всю историю", но нет, будем пользоваться чем есть, особенно всякими дефективными вебмордами к гмылу, где адрес отправителя писан так, что из-за ДИЗАЕНА и КИЛИСИВЫХ ШРЕВТОВ действительно сложно разобрать i там или j. И нет никаких пометок о DKIM-проверке, ведь юзеру СЛО-о-о-о-о-ОЖНА.

Ты видимо таки удосужился теперь прочитать текст новости, но продолжаешь нести чушь.

В смысле разработчики питона должны были настраивать почтовик у пользователей? шрифты на гмыле !? Или на чужом домене pypj настраивать "DKIM/SPF/DMARK"? Как это связано с наличием/отсутствием этих аббревиатур на самом pypi?

У pypi.org все прекрасно с SPF, DKIM, DMARC
А ты прочитай новость «Сообщения отправлялись с адреса "noreply@pypj.org"»
Перечитывай пока не поймешь
И главный прикол, что у pypj.org тоже могло быть все прекрасно и получатель даже лезущий проверять заголовки мог увидеть типа «spf пройдена проверка, dkim валидна» и спокойно пойти по ссылке так и не заметив, что домен не тот

подозреваю, что это был ответ таки жироватту, а не мне

Ну всё-таки не прекрасно, должна быть политика reject, а не quarantine

Ну это уже мелочь, возможно по каким-то причинам они сейчас поставили карантин
Главное, что все есть и есть -all в том же spf, что уже защищает от скама на приличные почтовики

>Бегло пробежался по тексту

А зачем, я сразу пишу коменты, не читая текста новости даже. Зачем время терять, настоящему анонимному эксперту это без необходимости.

> ведущую на сайт pypj.org (от официального сайта pypi.org домен отличается буквой "j" вместо "i" с расчётом на невнимательность получателя)

А ведь могли ɪ или í использовать еще, например и кучу других похожих букв
Ну если рассчитано на тех кто один фиг не смотрит
В латинице вообще(в расширенной) десятка полтора производных от i

Это фича латинского языка. Но то что в их клавиатуре m и n рядом - это баг.

Правильные адреса, проверяйте внимательно:

www:    https://pypі.org
E-mail: noreply@pypі.org

По теме:
1. Разрабам необходимо подписывать релизы пакетов OpenPGP.
2. Пользователям кроме проверки цифровой подписи следить за неизменностью ключа по сравнению с предыдущим релизом, а если ключ изменился, то проверять кросс подписи старого и нового ключей.

Лучше держать у себя WoT всех ключей разрабов ПО: https://www.linux.org.ru/forum/security/16839105?cid=16840324

Хотя метода контроля неизменности ключа OpenPGP, по сравнению с предыдущимирелизом и проверки кросс подписей в случае изменения ключа, вполне хватит для защити от бекдоров типа xz utils.

Разве в xz не мэйнтэйнер внедрял? Как это помогло бы?

У меня zx utils и ещё пару пакетов с исходниками подсветились красным при автоматизированной проверки подписей:

Подписан новым ключом который не имеет кросс подписи со старым ключом!!!

Надо просто профиксить латинский язык, надо выбросить j из алфавита и оставив i.

> Надо просто профиксить латинский язык, надо выбросить j из алфавита и оставив
> i.

Латинский язык мертв
А латиница используется в огромном количестве языков и ничего ты там не пофиксишь

Да, в этом плане дезереткий алфавит хорош. Или армянский.
А вообще - во всех неироглифических алфавитах есть наборы типа [i, j, ...] или [0, o, O, ...], или [I, l, 1, ...].
Чтобы не было полумер - нужно делать свой и правильный, у которого графика букв отличаться будет не только после установки правильно сделанных моноширинных шрифтов

А ещё для науки бы алфавит. А то букв латинского и греческого порой не хватает, чтобы не повторяться, в формулах да в той же теорфизике.

Правильный алфавит - глаголица: https://ru.m.wikipedia.org/wiki/%D0%93%D0...
остальные алфавиты - ересь.

Правильный алфавит - Алеф-Бет https://ru.wikipedia.org/wiki/Еврейское_письмо
Остальные алфавиты - ересь.

К счастью, окончательно вымирает, кстати, а вязь, к сожалению, не показывает таких тенденций. Хотя, достаточно приличного 1 конфликта, чтобы взаимоуничтожить всех носителей. А так, у греческого алфавита больше шансов выжить, его даже сегодня примерно все в мире знают. В целом, кириллица более стильная, и лишена подобных недостатков.

>А так, у греческого алфавита больше шансов выжить, его даже сегодня примерно все в мире знают.

Да никто греческого не знает.

>>А так, у греческого алфавита больше шансов выжить, его даже сегодня примерно все в мире знают.
> Да никто греческого не знает.

Популяризован культурой. Сейчас механическими часами меньше людей пользоваться может. Что странно, римские цифры и механические часы это навыки для среднего человека лет 3, а тут взрослые люди не понимают.

действительно никто не знает, что такое альфа и омега , бета, гамма, дельты , эпсилоны, пи всякие с лямбдами и сигмами. Зато все знают буквы глаголицы )))

И запретить буквы, от них одни проблемы.

Пора уже нейросетью скопировать все нужные пакеты и закрыть эту богодельню.

Каждому хочется что-то да значить. "Вчера был простой пацан. Сегодня - генеральный директор. Не каждому дано". (c)

Много питонисты зарабатывают? Говорят питонистов джунов после курсов расплодилось, что не устроиться.

я такое же про растоманов и джавистов говорю :)

У меня одного PyPI читается в голвое как paypal?

Не можешь победить - возглавь.

Надо таким сервисам перехватить инициативу. Самим каждую неделю рассылать ментейнерам популярных библиотек фишинговые письма. Если кто-то попался - лишать ментейнерских прав. И не возвращать их, пока не предоставят свежую справку о том, что прослушали курс по основам информационной безопасности.

PS: Это, кстати, идея для стартапа, который сможет выполнять эту работу регулярно и со знанием дела.

Идея отличная, хотя я бы лишал навсегда ментейнерских прав. Если перед ментейнерами будет висеть переспектива лишиться должности, это будет здорово мотивировать на внимательность. Ну и устраивать регулярные показательные порки тоже весьма желательно.

И через сколько возникнет ЕЩЁ один рассадник питоновских пакетов?