В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов, на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время, проблемные пакеты уже удалены из каталога PyPI...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51975
жадность фраера сгубила
да, а ведь шел пацанчик к успеху.
Впрочем, глядя на свой сервер, где dateutil есть, а желефиши никакой нет - если сам от себя зависимость не поставишь, никто о тебе не позаботится.
День через день новости о уязвимостях и вредоносах... Сейчас говорят во фряхе сделали или делают возможность грузится с защитой какой-то в уефи, а то я так и не осилил.Надо валить с линукса. Параноиком уже стал черт побери.
Ты совсем поехавший? Каким боком тут линукс? Лично я чувствую себя куда спокойнее, когда дыры находят и исправляют, чем когда дыры это кого надо дыры, поэтому альтернатив линуксу просто нет. А npm тот же ещё большая помойка, поэтому можешь уже сейчас отказаться от использования браузеров и интернета.
да-а-а, поравалить, на б-жественной-то десяточке искать "ssh и pgp ключи" (да еще не в пуссином формате, небось) занятие почти безнадежное.
>на б-жественной-то десяточке искать "ssh и pgp ключи"Большинство компрометаций инфраструктур так и происходит, внезапно. Понятно, что вендузятников наду сразу гнать ссаными тряпками, но где ты найдёшь столько работников с линуксом?
тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже надо гнать ссаными тряпками.
> тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже
> надо гнать ссаными тряпками.С остальными юникс-подобными системами ты можешь рассчитывать лишь на эффект неуловимого джо, это не то. Ну если не считать яблочную продукцию - у неё проприетарная природа и у неё полно червей и дыр, так что не лучше венды.
как будто у линукса нету червей и дыр, хотя речь не о макоси.
> как будто у линукса нету червей и дыр, хотя речь не о макоси.ты аккуратнее с такими заявами, тут слишком нежные линуксоиды сидят, накидают минусов только так
прошло то время, когда винда была более большим peшeтoм чем линукс, сейчас эко система линукс-дистрибов (ядро, сервисы, сетевые службы, днс, почтари) по багам просто бьёт все рекордына основе вот этой вот баги вообще ужас был
https://www.opennet.dev/opennews/art.shtml?num=50870
до сих пор кое-где эта дырка эксплуатируется и майнится криптовалютка на серверах дебиана, убунту, сусей, рхелов/центосей.
А вот такое вообще так каждый день пачками прилетает
15 уязвимостей в USB-драйверах, поставляемых в ядре Linuxhttps://www.opennet.dev/opennews/art.shtml?num=51974
Ни в одной винде такого ада не было.
> Андрей Коновалов из компании Google опубликовал отчёт
> о выявлении очередных 15 уязвимостей
> ранее данный исследователь уже сообщал о наличии
> 29 уязвимостей.15, 29... До этого ещё вродь один испанец штук 20 накопал. Адок прост... да, я понимаю, открытые исходники, все дела, но господи, какой же сырой код внутрях линукса повсеместно...
> прошло то время, когда винда была более большим peшeтoм чем линуксПримерно тогда же, когда некрософт перешёл на кумулятивные обновления? ;-)
Эх, чайники. Даже набрасывать не умеют.
> прошло то время, когда винда была более большим peшeтoм чем линуксГолословное утверждение
Хотя есть ещё эффект "нет железа нет проблем", в какой-то мере то тоже работает, конечно.
тогда нашей инфраструктуре ничего точно не грозит - тут по всем виндам хоть обыщись - ни pgp ни ssh ключей не найдешь. А найдешь так владелец не поймет, что это и от чего. Разьве что у меня пара, и те не в том формате и не в том месте, где эти чудо-скрипты их будут искать.Правда, на линуксном сервере их десяток, и примерно от всего, и как раз там где все их и ищут, но это ж линукс, это ж надежно!
(ой, а што ета за pyhton3-dateutil? Наверное, нужное что-та, не буду удалять!)
Специально для тебя есть еще десяток пока не обнаруженных пакетов (желефиш год лежал необнаруженным), которые сливают твои виндузятные пароли, кои лежат в почти полностью открытом виде.
И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому что ты крутой всемирно известный специалист по безопастносте, а все остальные — лохи.
> И ты, конечно, знаешь, где они лежат, но никому не скажешь, потомугад. Потому что я теперь сам не знаю где они лежат - поменял, называетцо, монитор.
Ты этим хотел сказать, что желефиш был последним необнаруженным трояном?
Золотые рыбки наконец научились прямоходячести?
он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не написанные никаких виндовых паролей у нас не сольют. Потому что вовсе не так легко это сделать, как тебе мечтается.А ваши "гепеге и эсэсхехе" - ну да, разумеется, еще не раз.
Полон опасностей мирок скриптоязычков.The Central Repository таких проблем не имеет.
При чем тут скриптовые языки? В этом вашем расте пилиш любую дичь в build.rs и готово.
ты не понял, пацанчик. Именно в скриптоязычках особую популярность имеют постмодерируемые скрипто-репозиторьчики со всякими майнерчиками. В серьезных взрослых платформах такого не наблюдаем.
пацанчик, скриптоязычки ли это или нет, но любые репки и каталоги могут пострадать> такого не наблюдаем
Malware has been discovered in at least three Arch Linux packages available on AUR (Arch User Repository), the official Arch Linux repository of user-submitted packages.
https://www.bleepingcomputer.com/news/security/malware-found.../
вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -
https://threatpost.com/backdoor-found-in-utility-for-linux/1.../
рекомендую обратить внимание на шок-контент: "nearly a year before its discovery."
> вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -при всем моем уважении к вебмину, действительно решающему иногда очень актуальную задачу - ничуть не опаснее именно в силу неуловимости джо - во-первых, как обычно, требовалось немного помочь олбанскому вирусу, включив уникально-редко используемую (используемую ли кем-либо в мире вообще?) фичу, во-вторых, следовало быть не только любителем веб-администрежа, но еще и неимоверно отважным, открыв доступ к фиче и самому вебмину всем желающим.
Лично я не могу похвастаться подобными конфигурациями, как-то ни одной за всю жизнь не держал.
А dateutil - опачки, вот он. Ну да, я его поставил из репо дистрибутива, разумеется, правильный, но это ж мне просто повезло с немодным-несовременным скриптом, не умеющим втянуть полсотни автозависимостей при установке. А майнтейнеру повезло когда-то что он мышкой не скопипастил - неправильный, но очень похожий.
Не, пацанчик, этот ты не всосал в чем суть.В этих ваших растах все тащится с crates.io, каждая минимальная поделка тащит за собой пяток-десяток зависимостей. Так что кукарекать про особенные уязвимости в скриптовых языках иди в свой курятник.
> The Central Repository таких проблем не имеет.Настолько не имеет что там даже отдельная ссылка прямо на главной: Report A Vulnerability
ты отличаешь уязвимость от целенаправленной публикации бэкдорчиков-майнеров в скрипто-репозиторьчики типа пипи и инпиэм? Приведи хотя бы один задокументированный случай целенаправленной публикации бэкдора в благословенном The Central Repository. В пипи и инпиэм такое случается постоянно.
> В настоящее время, проблемные пакеты уже удалены из каталога PyPI.Блин!
А всё просто. Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.И ответственность описать. На первый раз можно руку отрубить например.
Не решаются дыры в организации на техническом уровне.
Ты на таких условиях готов пакеты размещать?
Замененные буковки дак ИИ вполне может искать и выдавать список. да можно и скрипт наваять
Да, а иначе зачем предлагать?Заигрались в анонимусов в этих ваших интернетах, отсюда и все проблемы.
Нуу для начала зарегистрируйтесь на опеннете, из плюшек -- возможность правки своих комментариев в течение получаса, что ли, после отправки.
> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.А где права Анонимуса?
Такие подставы должны вычисляется автоматически и уведомлять модераторов, администраторов.
> А где права Анонимуса?У анонимуса нет никаких прав. Потому что права всегда идут в пакете с ответственностью. А коли анонимус ответственность нести не желает, какие ему права?
Во всеобщей декларации прав человека не написано "предоставляются только при предьявлении паспорта".Совсем уже опеннет оглупел.
> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.Как в Debian, что ли?
Всего лишь две?
> Всего лишь две?дальше - сами ищите. Тому кто нашел - осточертело.
не, юзера от программ, установленных из репозитория, защищать не надо! там же мантейнеры!! всё надёжно! цифровые подписи на пакетах!!
Это не репозиторий, а помойка.
Между этими понятиями нет противопоставления. Учинение в репозитории помойки не лишает последний возможности называться репозиторием.
Зачем писать мусор? У разных репозиториев — разные правила, это очевидно.
Вспомнити Leftpad!
Любые постмодерируемые пользовательские репозитории, будь то npm, aur, pypi, amo, googleplay, crates.io и т.п. имеют подобные проблемы, следует по возможности их избегать и использовать репозитории с премодерацией, либо вообще с добавлением пакетов исключительно командой мэйнтейнеров, как сделано в большинстве дистрибутивов linux и bsd.
Беда в том, что некоторые модные build-системы обращаются к пользовательским репозиториям и качают из них зависимости безальтернативно, по сути лишая разработчиков возможности огородиться от потенциально творящегося там беспредела. А для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.
> для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.Как раз в дистрибутивных репозиториях такого ада нет. Там ничего не выкачивается со стороны при сборке.
Именно: перед мэйнтейнерами репозиториев дистрибутивов стоит задача обеспечить автономную сборку софта. В то время как используемая софтом на rust build-система, cargo, в доску сетевая и в принципе не имеет ключей для сборки без обращений к своему репозиторию. Вот как пакетировать такой софт? Патчить cargo для отрезания сетевой активности и совать ему архивы?
Шел бы ты лучше мешки ворочатьhttps://doc.rust-lang.org/cargo/reference/source-replacement...
Короче на линукс нужен антивирус от таких пакетов. Кто нафигачит по быстренькому на баше?
Даю бизнес идею сначала добавляешь такие пакеты в репу а потом сам с ними борешься антивирусом.
> Даю бизнес идею сначала добавляешь такие пакеты в репууже без вас все добавили. Осталось побороть.
ты уже придумал нейросеть, которая сможет анализировать пакеты как человек?
Да, придумал. Берём человека, и получаем естественную нейросеть, анализирующую пакеты как человек.
А платить ему чем, бананами?
рупиями. Ишь, макака, бананов хочет. Банан я и сам съесть могу. А так - поработает недельку, заработает на тарелку далбата, может быть.Почем они там капчу разгадывают - доллар за сотню, или уже дешевле?
Чо, и никто даже не скажет "А вот в CPAN такого не было"??
Ну и да, приятная новость, одних петон-скрипт-кидди поимели другие, эх!
Оставь, не лезут своими корявками в б-жественный Перл — и хорошо.
Но я реально не помню подобных случаев, может быть кто-то знает больше?
> Чо, и никто даже не скажет "А вот в CPAN такого не
> было"??да как-то неинтересно, видимо, тогда было. А может и было - не нашли, потому что никто отродясь и не искал.
Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.
> Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.Как писал великий мудрец древности Брукс, на каждой вахте должен сидеть специально обученный вахтёр с бейджиком.
И эти люди будут возмущаться судьбой иных какамментов на публичных форумах... :)
> Чо, и никто даже не скажет "А вот в CPAN такого не было"??Есть, только никто ещё не нашёл из-за особенностей синтаксиса
Что и следует ожидать от немодерируемой помойки. Поэтому использую питоновые пакеты только из родного репозитория дистрибуива.
На родное репо надежды, конечно, побольше.
Но кто сказал, что там мейнтейнеры прям внимательно погладявают, а не просто бампают циферку?
В некоторых проектах просто жопа. Захотел я как-то (больше года назад) собрать OpenWRT. И отложил кучу - часть зависимостей качается по небезопасному каналу - FTP. И не проверяется подпись/хеш.Мораль:
1. не собирайте OpenWRT и не используйте эту поделку. Если кого-то из-за этого заразили малварью, внедрив её в незашифрованный канал, то вина тут в том числе проекта OpenWRT.
2. нужен строгий запрет всех сайтов без TLS в браузерах, чтобы добить эту заразу, когда они хостят без TLS, а другие - качают это и выполняют.
Никто не сказал, просто там у них есть такая возможность, а тут — нет.
"python3-dateutil" - это в конвенции по именованию дебиана такие имена. Злоумышленник видимо репозиторием ошибся.
он не ошибся, он как раз надеялся что дебианолюбители по инерции именно такое имя и наберут, или просто найдут поиском и не заметят ничего необычного.Спалили, гады :-(
>"I" (i) вместо "l" (L)Тут всё упирается в шрифты. В тексте статьи у меня I и l выглядят одинаково, зато в поле ввода(где я писал этот комментарий) и в терминале эти буквы отличаются(I выглядит как положено). Так что можно сказать, что это "уязвимость" в шрифтах.
Привязывайте пакеты не к pip, а г гит-репозиториям.
сам создал, сам разоблачил, и статей настрочил. Прям неуловимый Джо.непонятные либы с кривыми именами которые фиг случайно напечатаеш и фиг где найдеш если не по прямой ссылке.
1) в гугле их нету, толко ссылки на сплашные разоблачения.
2) а хакер скромяга. jellyfish 1к звезд, популярность либы выше крыши, целый год ночами не спал думал что же выбрать дальше.
3) тайпсквоттинга - нуда - случайно набил вместо l sift+i , это болезнь паркинсона такая?
python3-dateutil - а тут python3 тоже случайно?4) "данные для проектов PyCharm", WTF? что бы что? не ну серьезно
у человека полный доступ к компу а он не рута брутит а настройки папок тащит?
ну а че все в семьюэто ж где такие ССЗБ водяться чтобы такие опечатки делать.
помойму очевидно - британские ученые осваивют питон.вот если бы этих исследователей
"было размещено 214 подставных пакетов"
https://www.opennet.dev/opennews/art.shtml?num=44576
во время эксперемента - разоблочил их колега по цеху - то была бы группа хакеров а не исследователей.а согласитесь, ведь неплохой ведь способ попиариться?
(тему хакинга пока еще не обсосали ифо/крипто цигане)в общем бред сивой кобылы - ждем продолжение украл урку 2