"В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код" | +/– |  |
| Сообщение от opennews (?), 28-Апр-26, 23:28 | ||
Компания Elementary Data сообщила о компрометации рабочих процессов GitHub Actions, в результате которой атакующие смогли опубликовать в каталоге PyPI и в GitHub-репозитории выпуск пакета elementary-data 0.23.3, в который был внедрён вредоносный код для кражи конфиденциальной информации с систем пользователей. Вредоносный выпуск также был включён в состав официального Docker-образа проекта. В прошлом месяце пакет elementary-data был загружен из репозитория PyPI более 1.1 млн раз... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по времени | RSS] |
| 1. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | –1 +/– | |
| Сообщение от Tron is Whistling (?), 28-Апр-26, 23:28 | ||
Самое главное - люди не пострадали. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 3. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (3), 29-Апр-26, 00:31 | ||
Итишники не люди? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 6. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +6 +/– | |
| Сообщение от Сладкая булочка (?), 29-Апр-26, 00:38 | ||
Иишники не люди, должны страдать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 11. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +5 +/– | |
| Сообщение от Аноним (3), 29-Апр-26, 04:47 | ||
Вас... кхм... Автоматизировали? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 63. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Сладкая булочка (?), 29-Апр-26, 16:56 | ||
> Вас... кхм... Автоматизировали? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 2. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +1 +/– | |
| Сообщение от Аноним (2), 28-Апр-26, 23:41 | ||
Никогда такого не был0, и вот 0пять! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 4. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +4 +/– | |
| Сообщение от Аноним (4), 29-Апр-26, 00:37 | ||
Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 12. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | –2 +/– | |
| Сообщение от Аноним (3), 29-Апр-26, 04:49 | ||
Это то, что следует рассмотреть, когда на гит с винраров перейдете. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 20. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +3 +/– | |
| Сообщение от Аноним (20), 29-Апр-26, 07:28 | ||
Уж лучше винрары и каменты "// Дата. ФИО", чем пользоваться гитхабом в целом и его экшонами в частности. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 57. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (57), 29-Апр-26, 12:48 | ||
Да лучше на счётах считать, что уж там. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 40. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– |  |
| Сообщение от Admino (ok), 29-Апр-26, 10:27 | ||
Судя по новостям, нам безопасники не дадут на него перейти. | ||
| Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору | ||
| ||
| 61. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Анонимус11 (?), 29-Апр-26, 16:37 | ||
А интернет провести они вам позволили? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 5. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +1 +/– | |
| Сообщение от Сладкая булочка (?), 29-Апр-26, 00:37 | ||
Классика... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 7. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (7), 29-Апр-26, 00:40 | ||
>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 31. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (31), 29-Апр-26, 08:48 | ||
Не нужен он учёным. Учёные пусть на Julia сидят. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 13. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +3 +/– | |
| Сообщение от Аноним (13), 29-Апр-26, 05:10 | ||
Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 14. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (3), 29-Апр-26, 05:48 | ||
> Могли бы не мелочиться и поставить полный доступ | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 58. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним 9000 (?), 29-Апр-26, 12:51 | ||
На самом деле в гитхаб совершенно упоротая система с Action. Никаких secure defaults и безопасно это настроить достаточно сложно | ||
| Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору | ||
| 15. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +7 +/– |  |
| Сообщение от ИмяХ (ok), 29-Апр-26, 05:56 | ||
>>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 23. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | –2 +/– | |
| Сообщение от Аноним (20), 29-Апр-26, 07:31 | ||
Юридически можно добавить описание в релиз или в какой-либо файл, мол "используя данный пакет вы даёте разрешение на сбор информации" | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 18. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +4 +/– | |
| Сообщение от Аноним (18), 29-Апр-26, 06:39 | ||
Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 21. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | –5 +/– | |
| Сообщение от Аноним (21), 29-Апр-26, 07:30 | ||
Популярность питона и прочей скриптоты - это прямое следствие убогости Си и неадекватности Си++ и их доминирования в системном программировании. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 26. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (26), 29-Апр-26, 08:10 | ||
Предположим. А что, из всего многообразия языков программирования так и не нашлось более-менее адекватного? Или это и есть Питон - лучшее из худшего? :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 37. Скрыто модератором | +1 +/– | |
| Сообщение от Василий Пупкин (?), 29-Апр-26, 09:56 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 33. Скрыто модератором | +3 +/– | |
| Сообщение от Аноним (33), 29-Апр-26, 09:22 | ||
| Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору | ||
| ||
| 43. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (43), 29-Апр-26, 10:54 | ||
Питон - эталон убогости, даже раст более вменяемо выглядит | ||
| Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору | ||
| ||
| 44. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | –2 +/– | |
| Сообщение от Аноним (44), 29-Апр-26, 11:03 | ||
> Популярность питона и прочей скриптоты - это прямое следствие убогости и неадекватности по-быстрому-вкатившихся-в-айти и их неспособности научиться кодить на Си и Си++, которые доминируют в системном программировании. | ||
| Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору | ||
| ||
| 46. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (7), 29-Апр-26, 11:17 | ||
>и их неспособности научиться кодить на Си и Си++ | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 64. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (64), 29-Апр-26, 17:08 | ||
Кинь ссылку на реальные факты эксплуатации. С 94 года, небось, огого сколько набралось? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 62. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним83 (?), 29-Апр-26, 16:48 | ||
Дело не в языках. | ||
| Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору | ||
| 27. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +3 +/– | |
| Сообщение от Аноним (27), 29-Апр-26, 08:27 | ||
Ленивым разарбам влом самим скомпилить себе проджект и залить сразу бинарник? Ну вот и страдайте. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 34. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +2 +/– |  |
| Сообщение от INSANEWAVE (ok), 29-Апр-26, 09:34 | ||
Я чёт не понимаю, а почему у нас до сих пор такой кринж происходит? Может уже обратят на это внимание на убогость защиты или червей недостаточно было? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 36. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (26), 29-Апр-26, 09:37 | ||
Если я правильно понял, была проэксплуатирована дыра в обработчике GitHub Action, который есть скрипт, который создаёт владелец репы. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 38. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (38), 29-Апр-26, 10:12 | ||
Давно пора уже запилить изоляцию хотя бы на уровне virtual environments, чтобы всякое сидело в своём лепрозории, а до тех пор есть несколько простых правил: а) стараться не ставить самые свежие пакеты, а лучше указывать конкретную проверенную версию, и б) стараться по возможности не ставить пакеты с большим количеством зависимостей, чем меньше их - тем лучше | ||
| Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору | ||
| ||
| 42. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от INSANEWAVE (ok), 29-Апр-26, 10:53 | ||
Ну это конечно да, правильно. Лично я так и делаю, правда насчёт малозависимых пакетов сложно и муторно. С другой стороны - когда у тебя пк изолирован и не используется для финансовых операций то ок | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 45. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +2 +/– | |
| Сообщение от Аноним (44), 29-Апр-26, 11:12 | ||
Ну, какбэ, вменяемые люди так и делают, ставят в списке зависимостей ссылку на конкретный релиз либы и хэш тарбола для проверки. | ||
| Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору | ||
| ||
| 39. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (39), 29-Апр-26, 10:24 | ||
Инструменты для защиты есть. Просто софта слишком много и дыры находят в самых разных частях. Так теперь ещё и ИИ массово сканирует вообще всё подряд. Гонка вооружений ускорилась, и пока что Red Team имеет преимущество. | ||
| Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору | ||
| ||
| 59. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (59), 29-Апр-26, 13:27 | ||
> Я чёт не понимаю, | ||
| Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору | ||
| 35. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +5 +/– | |
| Сообщение от Аноним (35), 29-Апр-26, 09:36 | ||
используйте secrets говорили они | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 41. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Соль земли2 (?), 29-Апр-26, 10:42 | ||
Какой-то ИИ мусор взломали. Тоже мне новость. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 47. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | –1 +/– | |
| Сообщение от Аноним (47), 29-Апр-26, 11:51 | ||
> компрометации рабочих процессов GitHub Actions | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 56. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (56), 29-Апр-26, 12:39 | ||
ну да. ии мусор | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 48. Скрыто модератором | +1 +/– |  |
| Сообщение от Джон Титор (ok), 29-Апр-26, 11:51 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 53. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (53), 29-Апр-26, 12:12 | ||
Храните свои токены и пароли в переменных среды, говорили они. Это безопасно, говорили они. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 54. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним (53), 29-Апр-26, 12:13 | ||
UPD написал на эмоциях не прочитав комменты. Выше уже это же самое подметили. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 60. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..." | +/– | |
| Сообщение от Аноним83 (?), 29-Апр-26, 16:08 | ||
Опять наверное диды сишники виноваты. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
