The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код"  +/
Сообщение от opennews (?), 28-Апр-26, 23:28 
Компания Elementary Data сообщила о компрометации рабочих процессов GitHub Actions, в результате которой атакующие смогли опубликовать в каталоге PyPI и в GitHub-репозитории выпуск пакета elementary-data 0.23.3, в который был внедрён вредоносный код для кражи конфиденциальной информации с систем пользователей. Вредоносный выпуск также был включён в состав официального Docker-образа проекта. В прошлом месяце пакет elementary-data был загружен из репозитория PyPI  более 1.1 млн раз...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=65313

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Tron is Whistling (?), 28-Апр-26, 23:28 
Самое главное - люди не пострадали.
Ответить | Правка | Наверх | Cообщить модератору

3. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (3), 29-Апр-26, 00:31 
Итишники не люди?
Ответить | Правка | Наверх | Cообщить модератору

6. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +9 +/
Сообщение от Сладкая булочка (?), 29-Апр-26, 00:38 
Иишники не люди, должны страдать.
Ответить | Правка | Наверх | Cообщить модератору

11. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +6 +/
Сообщение от Аноним (3), 29-Апр-26, 04:47 
Вас... кхм... Автоматизировали?
Ответить | Правка | Наверх | Cообщить модератору

63. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Сладкая булочка (?), 29-Апр-26, 16:56 
> Вас... кхм... Автоматизировали?

Ой, не надо только вот эту ерунду тут нести. Уже поди взял компилятор ССС и все им пересобрал, автоматизатор? Вы ни на что не способны, создатели нейрослопа. Просто сидите на готовых либах и сверху генерите хлам, при это строя из себя не пойми кого.

Ответить | Правка | Наверх | Cообщить модератору

2. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Аноним (2), 28-Апр-26, 23:41 
Никогда такого не был0, и вот 0пять!
Ответить | Правка | Наверх | Cообщить модератору

4. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +5 +/
Сообщение от Аноним (4), 29-Апр-26, 00:37 
Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты.
Ответить | Правка | Наверх | Cообщить модератору

12. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  –3 +/
Сообщение от Аноним (3), 29-Апр-26, 04:49 
Это то, что следует рассмотреть, когда на гит с винраров перейдете.
Ответить | Правка | Наверх | Cообщить модератору

20. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +3 +/
Сообщение от Аноним (20), 29-Апр-26, 07:28 
Уж лучше винрары и каменты "// Дата. ФИО", чем пользоваться гитхабом в целом и его экшонами в частности.
Ответить | Правка | Наверх | Cообщить модератору

57. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Аноним (57), 29-Апр-26, 12:48 
Да лучше на счётах считать, что уж там.
Ответить | Правка | Наверх | Cообщить модератору

40. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Admino (ok), 29-Апр-26, 10:27 
Судя по новостям, нам безопасники не дадут на него перейти.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

61. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Анонимус11 (?), 29-Апр-26, 16:37 
А интернет провести они вам позволили?
Ответить | Правка | Наверх | Cообщить модератору

77. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от RANDOMIZE USR 15616 (?), 30-Апр-26, 09:17 
Только для просмотра котиков и кисок.
Ответить | Правка | Наверх | Cообщить модератору

79. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Твайлайт Спаркл тень (?), 30-Апр-26, 10:15 
Никаких винраров, только олдовый .tar.gz
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

5. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Сладкая булочка (?), 29-Апр-26, 00:37 
Классика...
Ответить | Правка | Наверх | Cообщить модератору

7. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (7), 29-Апр-26, 00:40 
>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45).

А есть возможность скачать заражённые выпуски спустя какое-то время после обнаружения?

Ответить | Правка | Наверх | Cообщить модератору

31. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (31), 29-Апр-26, 08:48 
Не нужен он учёным. Учёные пусть на Julia сидят.
Ответить | Правка | Наверх | Cообщить модератору

76. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Анонимный татарин (?), 30-Апр-26, 01:42 
Уж лучше Джулия на нас
Ответить | Правка | Наверх | Cообщить модератору

13. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +5 +/
Сообщение от Аноним (13), 29-Апр-26, 05:10 
Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ.
Ответить | Правка | Наверх | Cообщить модератору

14. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (3), 29-Апр-26, 05:48 
> Могли бы не мелочиться и поставить полный доступ

Никто и не мелочился.

Ответить | Правка | Наверх | Cообщить модератору

58. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним 9000 (?), 29-Апр-26, 12:51 
На самом деле в гитхаб совершенно упоротая система с Action. Никаких secure defaults и безопасно это настроить достаточно сложно
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

65. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  –1 +/
Сообщение от Аноним (65), 29-Апр-26, 17:57 
Там прямым текстом надо писать "read" или "write". Я не знаю, как сделать ещё проще, чтобы вам перестало быть "достаточно сложно", и вы перестали путать.
Ответить | Правка | Наверх | Cообщить модератору

73. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (73), 29-Апр-26, 22:06 
Может стек не позволяет?
Ответить | Правка | Наверх | Cообщить модератору

15. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +7 +/
Сообщение от ИмяХ (ok), 29-Апр-26, 05:56 
>>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

Если это у пользователей скачивает корпорация, то оно законно и называется "телеметрия", а если это скачивает левый чел, то это незаконно и называется "конфиденциальные данные"

Ответить | Правка | Наверх | Cообщить модератору

23. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  –2 +/
Сообщение от Аноним (20), 29-Апр-26, 07:31 
Юридически можно добавить описание в релиз или в какой-либо файл, мол "используя данный пакет вы даёте разрешение на сбор информации"

Тысяча глаз не увидит, какой-нить реновейт затянет, вот уже как бы и незаконный сбор получается законным

Ответить | Правка | Наверх | Cообщить модератору

18. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +5 +/
Сообщение от Аноним (18), 29-Апр-26, 06:39 
Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем.
Ответить | Правка | Наверх | Cообщить модератору

21. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  –7 +/
Сообщение от Аноним (21), 29-Апр-26, 07:30 
Популярность питона и прочей скриптоты - это прямое следствие убогости Си и неадекватности Си++ и их доминирования в системном программировании.
Ответить | Правка | Наверх | Cообщить модератору

26. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (26), 29-Апр-26, 08:10 
Предположим. А что, из всего многообразия языков программирования так и не нашлось более-менее адекватного? Или это и есть Питон - лучшее из худшего? :)
Ответить | Правка | Наверх | Cообщить модератору

37. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Василий Пупкин (?), 29-Апр-26, 09:56 
Раст как следствие наблюдаемо набирает обороты
Ответить | Правка | Наверх | Cообщить модератору

70. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (26), 29-Апр-26, 21:33 
А что лучше, Раст или Питон? :)
Ответить | Правка | Наверх | Cообщить модератору

33. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +3 +/
Сообщение от Аноним (33), 29-Апр-26, 09:22 
>  убогости ... и неадекватности ... и ... доминирования

У меня логический диссонанс

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

66. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (65), 29-Апр-26, 18:00 
Альтернатив не было, никто особо не знал как нужно и как можно. Как разобрались, стали пытаться что-то делать.
Ответить | Правка | Наверх | Cообщить модератору

67. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (7), 29-Апр-26, 19:16 
>Альтернатив не было

Как удобно говорить именно это. Прямо сейчас есть далеко не самая лучшая альтернатива, однако довольно распиаренная. И что? На неё совершают кучу нападок.

Лично мне известно о существовании cyclone (2001), а так же ats(2006). Как всегда, местные ыксперты сделают вид, что слышат о них впервые.

Прямо сейчас, существует язык, чья моедль памяти должна давать ещё больше чем rust, в плане утечек памяти. Разумеется, про него тем более никто ничего не слышал.

Ответить | Правка | Наверх | Cообщить модератору

44. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  –2 +/
Сообщение от Аноним (44), 29-Апр-26, 11:03 
> Популярность питона и прочей скриптоты - это прямое следствие убогости и неадекватности по-быстрому-вкатившихся-в-айти и их неспособности научиться кодить на Си и Си++, которые доминируют в системном программировании.

Не благодари.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

46. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (7), 29-Апр-26, 11:17 
>и их неспособности научиться кодить на Си и Си++

На си никто не способен научится кодить. https://www.opennet.me/opennews/art.shtml?num=64138
>Уязвимость проявляется с выпуска X11R6 (1994 год).

Ответить | Правка | Наверх | Cообщить модератору

64. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (64), 29-Апр-26, 17:08 
Кинь ссылку на реальные факты эксплуатации. С 94 года, небось, огого сколько набралось?
Ответить | Правка | Наверх | Cообщить модератору

68. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (7), 29-Апр-26, 19:21 
Когда убьют, тогда и приходите.
Ответить | Правка | Наверх | Cообщить модератору

72. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (64), 29-Апр-26, 21:56 
Камент как раз в тему новости. У изобличителей дыряшки перед носом реальный факт - грохнули репу на гитхабе. Причина - ошибка в логике вызова обработчика. В иксах с 1994 года висят в коде умозрительные уязвимости, для которых не то что фактов взлома не зарегистрировано, но даже внятного эксплойта не опубликовано - всё равно начинается приступ вялотекущей истерики про "убогость Си и неадекватность Си++".
Ответить | Правка | Наверх | Cообщить модератору

75. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (7), 29-Апр-26, 23:45 
>У изобличителей дыряшки перед носом реальный факт

Уязвимости не исключают друг друга, они суммируются.
>но даже внятного эксплойта не опубликовано

Зачем вам эксплоит? Лично мне более чем достаточно того факта, что сишные программы очень любят ломаться непредсказуемым образом, при этом стек вызова будет указывать не на реальную проблему, а в произвольное место.
>вялотекущей истерики про "убогость Си и неадекватность Си++"

Вот удивительно, си такой хороший, а как только его начинают применять в проектах сложнее hello world, так тут же вылезает куча проблем, что касается как новичков, так и матёрых профессионалов. При этом, до сих пор люди делают вид, что проблемы не существует.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

78. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (64), 30-Апр-26, 09:59 
> тут же вылезает куча проблем

С 94 года всё вылезала, вылезала, да так и не вылезла.

Ответить | Правка | Наверх | Cообщить модератору

62. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним83 (?), 29-Апр-26, 16:48 
Дело не в языках.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

27. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +3 +/
Сообщение от Аноним (27), 29-Апр-26, 08:27 
Ленивым разарбам влом самим скомпилить себе проджект и залить сразу бинарник? Ну вот и страдайте.
Ответить | Правка | Наверх | Cообщить модератору

34. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +2 +/
Сообщение от INSANEWAVE (ok), 29-Апр-26, 09:34 
Я чёт не понимаю, а почему у нас до сих пор такой кринж происходит? Может уже обратят на это внимание на убогость защиты или червей недостаточно было?
Ответить | Правка | Наверх | Cообщить модератору

36. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (26), 29-Апр-26, 09:37 
Если я правильно понял, была проэксплуатирована дыра в обработчике GitHub Action, который есть скрипт, который создаёт владелец репы.
Ответить | Правка | Наверх | Cообщить модератору

38. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +1 +/
Сообщение от Аноним (38), 29-Апр-26, 10:12 
Давно пора уже запилить изоляцию хотя бы на уровне virtual environments, чтобы всякое сидело в своём лепрозории, а до тех пор есть несколько простых правил: а) стараться не ставить самые свежие пакеты, а лучше указывать конкретную проверенную версию, и б) стараться по возможности не ставить пакеты с большим количеством зависимостей, чем меньше их - тем лучше
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

42. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от INSANEWAVE (ok), 29-Апр-26, 10:53 
Ну это конечно да, правильно. Лично я так и делаю, правда насчёт малозависимых пакетов сложно и муторно. С другой стороны - когда у тебя пк изолирован и не используется для финансовых операций то ок
Ответить | Правка | Наверх | Cообщить модератору

45. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +2 +/
Сообщение от Аноним (44), 29-Апр-26, 11:12 
Ну, какбэ, вменяемые люди так и делают, ставят в списке зависимостей ссылку на конкретный релиз либы и хэш тарбола для проверки.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

39. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (39), 29-Апр-26, 10:24 
Инструменты для защиты есть. Просто софта слишком много и дыры находят в самых разных частях. Так теперь ещё и ИИ массово сканирует вообще всё подряд. Гонка вооружений ускорилась, и пока что Red Team имеет преимущество.

Больше инфраструктура - больше поверхность атаки, больше затрат на защиту.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

59. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (59), 29-Апр-26, 13:27 
> Я чёт не понимаю,

Ты так ничего и не понял ?
(с) Доктор Зло.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

35. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +5 +/
Сообщение от Аноним (35), 29-Апр-26, 09:36 
используйте secrets говорили они
эти данные не доступны приложениям в CI/CD говорили они ...
Ответить | Правка | Наверх | Cообщить модератору

41. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Соль земли2 (?), 29-Апр-26, 10:42 
Какой-то ИИ мусор взломали. Тоже мне новость.
Ответить | Правка | Наверх | Cообщить модератору

47. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  –2 +/
Сообщение от Аноним (47), 29-Апр-26, 11:51 
> компрометации рабочих процессов GitHub Actions

взломали гитхаб так-то

Ответить | Правка | Наверх | Cообщить модератору

56. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (56), 29-Апр-26, 12:39 
ну да. ии мусор
Ответить | Правка | Наверх | Cообщить модератору

69. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от бочок (ok), 29-Апр-26, 19:57 
Бери шире, взломали интернет.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

71. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (26), 29-Апр-26, 21:36 
>взломали гитхаб так-то

Да не. Взломали скрипт владельцев репы.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

48. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +2 +/
Сообщение от Джон Титор (ok), 29-Апр-26, 11:51 
Мне кажется к информации о пакетах нужно добавлять историю типа Vulenrability History. Чтобы хотя-бы под каждой версией понимать что к чему. Оно всё-равно уже автоматизировано. Люди которые используют хоть будут понимать - возможен инцидент или нет. А то что они где-то в новостях это опубликовали, которые не все и прочитают, и вы вряд-ли эти новости найдёте пока уже не столкнетесь с инцидентом как-то почти бессмысленно.
Ответить | Правка | Наверх | Cообщить модератору

53. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (53), 29-Апр-26, 12:12 
Храните свои токены и пароли в переменных среды, говорили они. Это безопасно, говорили они.
Так я и не понял чем оно безопаснее. На файлы хотя бы права есть. А переменные кто хочешь может читать.
Ответить | Правка | Наверх | Cообщить модератору

54. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним (53), 29-Апр-26, 12:13 
UPD написал на эмоциях не прочитав комменты. Выше уже это же самое подметили.
Ответить | Правка | Наверх | Cообщить модератору

74. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Tron is Whistling (?), 29-Апр-26, 23:15 
Хосспаде, ну цыцд, девляпсинг, вот это всё.
Первый залетевший дятел разрушит цивилизацию. Ещё древние писали.
Ответить | Правка | Наверх | Cообщить модератору

80. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Аноним12345 (?), 30-Апр-26, 10:30 
гитхаб превращается в здоровенную дыру
Ответить | Правка | Наверх | Cообщить модератору

81. "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в м..."  +/
Сообщение от Хрю (?), 30-Апр-26, 11:09 
Он всегда ею был.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру