Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"	+/–
Сообщение от opennews (??), 24-Июн-21, 12:21
В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib,... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55384
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 24-Июн-21, 12:21	–1 +/–
А это точно стоит отдельной новости?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #8, #11

2. Сообщение от Жироватт (ok), 24-Июн-21, 12:24	+/–
Никогда такого не было, и вдруг снова?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от OnTheEdge (??), 24-Июн-21, 12:27	+2 +/–
она — мини
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15, #50

4. Сообщение от OnTheEdge (??), 24-Июн-21, 12:29	+1 +/–
это скорее к npm-репозитарию, хотя один фиг, судя по всему
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16, #18, #20

5. Сообщение от Жироватт (ok), 24-Июн-21, 12:29	+4 +/–
Стоит. Пока по всем вот этим спидозным накопителям не нарисуют сайт-несайт, в реальном времени отражающий текущую ситуёвину с самим репо и найденными вредоносами. С блекджеком, пионерками, архивом статистики по самым разным метаданным пакетов, возможностью отбора трендов и таймланов, возможностью отправки юзерского фидбека, полуавтоматической ловлей подозрительно подозрительных (очень большой коэффициент likely в названии с популярными пакетами, пакеты из китая, рекламных говноконторок, мелких говноконторок "РогаКопыта Ltd." и от недавно зарегистрированных нонеймов, пакеты с накруткой рейтинга и установок...) и подозрительно неподозрительных пакетов (резких обновлений с нехарактерным кодом, указания реальным кодером угона его акков с последующим блоком любых апдейтов его пакетов до аудита, и т.п.), с обновлениями индекса и веделениями "новых" пакетов, с рейтингами у каждого автоматом внесенного разраба и возможность автоматом смотреть диффы...ну, короче, полноценную систему управления репо с проверкой авторов на продажу аккаунтов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

6. Сообщение от Аноним (6), 24-Июн-21, 12:31	+/–
Из заголовка сперва подумал что это общая сводка и сразу такой "что-то маловато"
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 24-Июн-21, 12:34	+1 +/–
> maratlib Марат, поджигай!
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 12:41	+5 +/–
Учитывая специфику подготовки питонистов, им на трёхмесячных курсах могли и не рассказать, что такое в принципе может произойти. Поэтому есть риск, что обнаружение малвари в питонолибах останется незамеченными большей частью питонистов, что чревато проблемами для ни в чём не повинных мирных граждан. Так что лучше оповестить всех лишний раз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

9. Сообщение от пох. (?), 24-Июн-21, 12:49	+/–
> пакеты из китая Не, ну вот китайцев-то ты за что? Марат явно не китаец. Что-то мне подсказывает, что и не француз даже. Кем бы это он мог бы быть, действительно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12, #37

10. Сообщение от пох. (?), 24-Июн-21, 12:52	–2 +/–
Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий на ходу что-то с шитхаба - все как у взрослых! > что чревато проблемами для ни в чём не повинных мирных граждан. а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если точно будут знать что он майнит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #39, #42

11. Сообщение от пох. (?), 24-Июн-21, 12:53	–2 +/–
завидуй молча! У чувака пять тыщ майнеров. А тебе опять премию не дадут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от ryoken (ok), 24-Июн-21, 12:54	–1 +/–
А чо не так с Маратами? Где я долгое время жил (Башкирия) - вполне стандартное имя :D.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13, #28

13. Сообщение от пох. (?), 24-Июн-21, 12:57	–1 +/–
Дык, я и говорю, причем бы тут китайцы... те свои трояны обычно не опенсорсят, а то что у них не трояны - все равно использовать не получается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #34

15. Сообщение от Аноним (15), 24-Июн-21, 13:16	–3 +/–
а надо - нано
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #23

16. Сообщение от Аноним (-), 24-Июн-21, 13:27	+/–
> это скорее к npm-репозитарию, хотя один фиг, судя по всему Только вот незадача: на npm "услугах" зашлибают нехилую деньгу - в отличие от.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

18. Сообщение от Lex (??), 24-Июн-21, 13:40	–7 +/–
Дыры нашли в питоновских проектах, но, разумеется, "ты туда не смотри - ты на нпм смотри". У последнего, кстати, и пакетов раз 8 больше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #24

19. Сообщение от eRIC (ok), 24-Июн-21, 13:45	+4 +/–
Marat Nedogimov беги
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (20), 24-Июн-21, 14:14	+1 +/–
При чем здесь npm? Это везде где есть пакетный менеджер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

21. Сообщение от Tifereth (ok), 24-Июн-21, 14:15	+/–
Ну и чему удивляться? В Пипу кто хочешь может залить что угодно. Так что были такие заподлянки, есть и будут. С ходу и не вижу эффективного способа как-то помешать такому использованию. Так, чтобы Пипа при этом оставалась мало-мальски удобной для работы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

22. Сообщение от Массоны Рептилоиды (?), 24-Июн-21, 14:15	+/–
Марат ни в чём не виноват!
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от OnTheEdge (ok), 24-Июн-21, 14:19	+1 +/–
может мили/микро для начала? нано — отличный текстовый редактор, к слову
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #25

24. Сообщение от Аноним (-), 24-Июн-21, 14:44	+/–
>> Вредоносный код был размещён в библиотеке maratlib > Дыры нашли в питоновских проектах, Найди дыру в своей опе, которой ты читал новость ... > но, разумеется, "ты туда не смотри - ты на нпм смотри". > У последнего, кстати, и пакетов раз 8 больше За первым, кстати, нет никакой PyPI Inc. Но опеннетные "спецы", сравнивающие опу с пальцем, не переводятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

25. Сообщение от Аноним (25), 24-Июн-21, 14:47	+/–
мили/микро это когда firefox выпускает обновления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (26), 24-Июн-21, 15:04	+3 +/–
> С ходу и не вижу эффективного способа как-то помешать такому использованию. Просто не использовать неизвестные библиотеки без ревью, в pypi не надо ничего менять для этого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #43, #46, #53

27. Сообщение от Sergey (??), 24-Июн-21, 15:13	+/–
А разве с pypi не колеса ставят ?
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 15:34	+/–
Угу. А есть края, где Аза - вполне обычное женское имя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30

29. Сообщение от ТовМайор (?), 24-Июн-21, 15:42	+/–
>marat >aza >майнинг Такс щас посмотрим в секретном екселе сколько таких инклюзивных хацкеров.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от ryoken (ok), 24-Июн-21, 15:53	+/–
> Угу. А есть края, где Аза - вполне обычное женское имя. Про женское - не слышал. Там это было сокращённое мужское, Азат :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #38

31. Сообщение от Аноним (34), 24-Июн-21, 16:02	–2 +/–
Мне каждый раз довольно стрёмно использовать анонимные нонейм батарейки от китайских друзей, поэтому я копирую код себе и не использую чужие бинари. К сожалению, не всё компилируется в принципе, скажем, у меня проблемы с компиляцией blis, tensorflow и pyppeteer. Вот пример такого кода https://snyk.io/advisor/python/bing-translation-for-python (относительно хороший сервис, позволяющий быстро прикинуть, насколько та или иная батарейка вообще жива).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #33

32. Сообщение от Аноним (34), 24-Июн-21, 16:05	+/–
Тут написано, что не очень здоровый пакет, у меня он просто не компилируется https://snyk.io/advisor/python/blis
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

33. Сообщение от Аноним (34), 24-Июн-21, 16:13	+/–
С другой стороны, селениум, 3 года не имеющий релизов (и который был всё вместе с phantomjs), там под 90 баллов (из гита конечно можно установить альфа-версию, если очень хочется, да ведь это не то).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (34), 24-Июн-21, 16:24	+/–
Сегодня очень много кода пишется китайцами. Нейронки, мобильные приложения, самые различные батарейки для всего. С точки зрения белого человека, у них часто стрёмный код, но, обычно, он работает, и адаптировать его вполне возможно в разумные сроки. Китайцы тут при том, что китайцы большие любители малвари и протрояненного вареза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

36. Сообщение от commiethebeastie (ok), 24-Июн-21, 19:28	+1 +/–
>Из setup.py загружался с GitHub и запускался bash-скрипт aza.sh, который в свою очередь загружал и запускал приложения для майнинга криптовалют Ubqminer или T-Rex. Запускает sh из питона. Адепты кали линукса добрались до реп.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от пох. (?), 24-Июн-21, 20:18	+/–
Ну тыж не я)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

38. Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:06	+/–
Ага, и такое попадалось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

39. Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:07	–1 +/–
Так это не ему, он м.б. вообще опеннет не читает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

42. Сообщение от пох. (?), 25-Июн-21, 00:20	+/–
> Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий > на ходу что-то с шитхаба - все как у взрослых! >> что чревато проблемами для ни в чём не повинных мирных граждан. > а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени > давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если > точно будут знать что он майнит. Заканчивай писать от моего имени, слышишь Марат
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

43. Сообщение от Tifereth (ok), 25-Июн-21, 03:28	+/–
Это как бы естественная гигиена (о которой, естественно, все забывают). На мой взгляд, недобрый человек может действовать тоньше, и вредоносность может включаться не сразу, и обзор, на первый взгляд, ничего подозрительного не выдаст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

46. Сообщение от Аноним (46), 25-Июн-21, 12:45	+/–
Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код. А ситуацию с Node.js представь там в Hello, world под тысячу зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #48

47. Сообщение от Ivan_83 (ok), 25-Июн-21, 13:43	+/–
И остальные 100500 ещё не найдены :)
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (48), 25-Июн-21, 14:11	+/–
> Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код. Это преувеличение, если библиотека популярная как например django или sqlalchemy то там и без нас полно ревьюверов и их зависимостей в том числе, как среди авторов библиотеки так и среди её пользователей. Речь идёт о редких и малопопулярных библиотеках которые вполне возможно что никто и не ревьювил. > двумя землекопами Это повод выбирать другие более распространённые библиотеки. > А ситуацию с Node.js представь Нет возможности ревьювить — значит просто не используем, я например не использую Node.js и из-за этого в том числе. Сейчас кстати Go по этому же пути nodejs идёт, а там вообще бинарники скомпилированные, вот там будет очень весело :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от Аноним (49), 25-Июн-21, 14:17	+1 +/–
>marat >azaza Российские ребята, походу.
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от adolfus (ok), 25-Июн-21, 16:51	+/–
Стоит. Червяк -- самый небезопасный из интерпретируемых языков. Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек. Полная ассоциация с фавелами в Бразилии -- самострой и глобальная помойка. Ну и отступы еще добавляют адреналина...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #51

51. Сообщение от Stax (ok), 26-Июн-21, 15:19	+/–
> Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек Ну, это вы загнули. В npm все намного стремнее, и там такие истории были многократно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

52. Сообщение от remort (?), 27-Июн-21, 11:24	+/–
Этническая преступность. Теперь еще и с татарским душком.
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Tifereth (ok), 28-Июн-21, 07:04	+/–
В идеале - да. В реальности могут быть зависимости между пакетами, и проверка может, внезапно, стать исследовательской работой. В особенности, если возникает зависимость от чего-то ранее неизвестного (а библиотека уже вовсю используется).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема