В каталоге Python-пакетов PyPI (https://pypi.python.org)
обнаружен (https://medium.com/@bertusk/cryptocurrency-clipboard-hi...) вредоносный пакет "colourama", который маскировался под популярную библиотеку "colorama (https://pypi.org/project/colorama/)" и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносное дополнение также включало код для загрузки и установки в систему скрипта (https://hastebin.com/raw/idamexogib) на Visual Basic при установке пакета на платформе Windows.
Данный скрипт активировался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга (https://www.opennet.dev/opennews/art.shtml?num=44576), при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователя, допускающие опечатки при поиске.Вредоносный пакет находился в репозитории PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим (https://medium.com/@bertusk/detecting-cyber-attacks-in-...) с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен (https://pypistats.org/packages/colourama) 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 пакетов в PyPI. В ходе анализа, помимо colourama было выявлено ещё 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.
URL: https://medium.com/@bertusk/cryptocurrency-clipboard-hi...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49490
Никогда такого не было и вот опять.
Чего не сделают лишь бы не Snap.
В snap это просто квинтэссенция описанной проблемы.От этого могут спасти только модерируемые репозитории. И спасают уже 20 лет. Только почему-то сейчас всем захотелось блобы с троянами ставить без костылей.
Тем временем в соседней новости Федора глобально заразилась этой ересью...
Решения в федору проталкивает одна конкретная компания, руководствуясь только соображениями собственной выгоды.
В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить. Даже права рут не нужны для установки.
Расскажите как вы будете обёртывать каждый питоновский пакет в отдельный снап.
https://docs.snapcraft.io/creating-a-snap
Нет-нет, вы лично расскажите как вы будете опакечивать каждый пакет, как будут работать импорты, как будет работать pyqt/pygtk, всё вот это. Кидать отписку мне не надо, я и так априори предполагаю что вы ничего больше сказать не можете.
В Snap расчёт на сервер. Для гуйни обратитесь к Flatpak. Про взаимодействие пакетов можно почитать в документации к каждому пакетному менеджеру.
> как вы будете опакечивать каждый пакет?
> В Snap расчёт на серверА вы точно русский понимаете?
По ссылке полное описание процесса, включая сборку програм на электроне и пакетов для Windows. Зачем вам перепечатка от анона с опеннета? Может вы английский не знаете?
милениалы, сэрррр..!
> В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить.не обманывай
> не обманывайчто, и майнить - тоже не?
>Snap. Даже права рут не нужны для установки.
В этих ваших модерируемых репах еще бы нужный софт появлялся и обновлялся, и было бы совсем хорошо. А поскольку нанять и заставить работать мы никого не можем, то имеет то что имеем. Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность, то было бы примерно как на вантузе сейчас, т е почти безопасно.
> появлялся и обновлялсяНе вижу с этим проблем.
> Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личностьТак и есть. На ряду с "васянами с улиц" есть и проверенные разработчики. Они помечены зелёными галочками.
Вот от проверенных людей
https://snapcraft.io/powershellВот пакет от левого, который и забил на обновления. Да и вообще страшно софт такой ставить от "проходимцев".
https://snapcraft.io/electrum
Галочки эти можно разве что на рулонах распечатывать, ибо никакого доверия они не дают. Золотые рыбки забыли уже и продолбанные (даже не говорю про похищенные) ключи и пароли (в результате чего "проверенным разработчиком" становится кто угодно. А ещё лучше - банально проданные, как с расширениями хрома. И про бинарники от автора изначально заражённые кишашей на его машине вируснёй забыли (quip из самого громкого). Да и самих нечистых на руку авторов, добавляющих если не конкретные трояны, то очень нужную им телеметрию и аналитику. Да и к тому как они проверяют аккаунты есть большие вопросы.
Как же так? А тут на опеннете читал, что npm плохой! Как же так может быть? Невероятно!
Как же так? А все про npm рассказывали, и тут на тебе!
Так в питоняшке еще хуже с этим, т.к. давненько там такого небыло. NPM полагаю сейчас стали чуть лучше анализировать.
ой, а они что, не одно и то же?
8-O
> Как же так? А все про npm рассказывали, и тут на тебе!Подожди, скоро еще какие-нибудь растаманы с своим каргокультом отметятся. Как виндозные хипстеры содержат репы - несложно догадаться. А юзерам например линухов ВНЕЗАПНО не надо левые репы для ЯПа. Это клещится с тем что в ОС и так есть пакетный менеджер, неконтролируемо мусоря в ФС хламом который не отслеживается и за который отвечают какие-то раздолбаи вместо команды майнтайнеров с четко декларированными политиками.
А вот вспомнити....
> А вот вспомнити....Планшеты GNOME от Групона, когда Групон использовал давно известную (но так и не исправленную, возможно умышленно, производителями законов) ошибку -- торговая марка в соотв. репозитории не защищается автоматически, а требует активных действий со стороны отделения юристов регистранта, при выявлении нарушения.
Что дает возможность атакующим с качественным и/или количественным превосхоством в юристах и финансах, как минимум на некоторое время заДОСить цель (как максимум -- по факту "отжать" марку и поплевывать на все претензии владельца).https://www.opennet.dev/opennews/art.shtml?num=41040
> компания Groupon начала продвижение программной платформы для создания планшетов ... под именем Gnome. При этом продукт Groupon является проприетарной разработкой и кроме имени никаким образом не пересекается с открытым проектом GNOME, который владеет правами на данную торговую марку.
>
Быть такого не может!
>установки в систему скрипта на Visual Basic, активировавшийся в момент >установки пакета на платформе WindowsДа это же махровая дискриминация пользователей linux!
Появляются статьи о Windows only проблемах. Может скоро статьи о релизах Windows 10 будут?
С чего бы это Windows only проблема?
А уж сколько в докер-образах наверное такого... Для тех, кто то volume смонтируют неглядя в домашнюю директорию, то вот /dev/shm:/dev/shm примапят (автоматом из Dockerfile'а)
Ну елы палы.
Делаешь бардак - получаешь бардак.
Простой поиск через pip показывает, как там дела обстоят.Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.
Нет даже элементарных вещей вроде общепринятых норм именования пакетов.
> Нет даже элементарных вещей вроде общепринятых норм именования пакетов.это ещё что за зверь такой и где есть?
а, главное, чем оно помогает от того, что внутри пакета?
> Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.Если левый васян не сможет перепаковать пакет, значит никто не сможет подхватить разработку заброшенных авторами, но ещё полезных пакетов. Нужна просто модерация, обязательные подписи, прозрачность, аудит - всё то что давно успешно работает с системными пакетами.
> подписи, прозрачность, аудит - всё то что давно успешно работает с
> системными пакетами.Так поэтому нормальные люди и пользуются системными пакетами. Уже много лет. Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный менеджер обнесли - там только виндостор какой-то. Вот они и собирают себе аэродромы, как у белых людей. Но как и положено - из бамбука.
Ну для перла, питона и руби я и пользуюсь системными пакетами и буду пользоваться.
Но новоязы go и rust же с ними несовместимы напрочь.
> Но новоязы go и rust же с ними несовместимы напрочь.Откуда это следует? Дебианщики что-то такое даже пакетят вроде. Впрочем, лично я заранее рассматриваю любой ЯП с встроенный пакетником как VULN. Просто по итогам смотрения на то к чему это ведет и как это содержится.
> Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный
> менеджер обнесли - там только виндостор какой-то. Вот они и собирают
> себе аэродромы, как у белых людей. Но как и положено - из бамбука.Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы которая мейнтенится только скопом с еще кучей таких же или отсутствует вообще. Но самое главное -- чтобы аноним опеннета мог пафосно надувать щеки.
> Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либыА это вообще зачем? У разработчика сильно дофига времени на страдание какой-то левой фигней, никак не связанной с достижением результата, как такового?
Нечего доверять чужому коду! Многие "программисты" даже не заглядывают в то, что используют и затем продают другим.
djanga порадовала
а я ведь предупреждал, что pypi - говно и что ставить надо исключительно из vcs.
Будьте добры, опубликуйте весь список Ваших предупреждений.
Будьте добры, опубликуйте весь список Ваших предупреждений.
Оу, это же сколько звёзд дошло сойтись, чтобы оно сработало.
Python
Windows
цветных ANSI escape-последовательностейОстановите планету, я сойду.
Всё прекрасно работает.
1 win 10 - из коробки.
2 win xp,7,8,8.1 - либо ставишь ansicon, либо включаешь в coloramе поспроцессинг вывода. При этом колорама переисывает коды в вызовы винапи. Колорама обрабатывает коды лучше, чем ансикон, но на некоторых сочетаниях вылетает с исключением. Ещё можно запустить mintty, там тоже коды есть. Правда всё это по возможностям уступает линуксовым эмуляторам терминала.