URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124612
[ Назад ]
Исходное сообщение
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"
Отправлено opennews , 24-Июн-21 12:21 
В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib,...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55384

Содержание
Сообщения в этом обсуждении
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 12:21 
А это точно стоит отдельной новости?
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено OnTheEdge , 24-Июн-21 12:27 
она — мини
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 13:16 
а надо - нано
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено OnTheEdge , 24-Июн-21 14:19 
может мили/микро для начала? нано — отличный текстовый редактор, к слову
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 14:47 
мили/микро это когда firefox выпускает обновления.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено adolfus , 25-Июн-21 16:51 
Стоит. Червяк -- самый небезопасный из интерпретируемых языков. Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек. Полная ассоциация с фавелами в Бразилии -- самострой и глобальная помойка. Ну и отступы еще добавляют адреналина...
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Stax , 26-Июн-21 15:19 
> Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек

Ну, это вы загнули. В npm все намного стремнее, и там такие истории были многократно.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Жироватт , 24-Июн-21 12:29 
Стоит. Пока по всем вот этим спидозным накопителям не нарисуют сайт-несайт, в реальном времени отражающий текущую ситуёвину с самим репо и найденными вредоносами.
С блекджеком, пионерками, архивом статистики по самым разным метаданным пакетов, возможностью отбора трендов и таймланов, возможностью отправки юзерского фидбека, полуавтоматической ловлей подозрительно подозрительных (очень большой коэффициент likely в названии с популярными пакетами, пакеты из китая, рекламных говноконторок, мелких говноконторок "РогаКопыта Ltd." и от недавно зарегистрированных нонеймов, пакеты с накруткой рейтинга и установок...) и подозрительно неподозрительных пакетов (резких обновлений с нехарактерным кодом, указания реальным кодером угона его акков с последующим блоком любых апдейтов его пакетов до аудита, и т.п.), с обновлениями индекса и веделениями "новых" пакетов, с рейтингами у каждого автоматом внесенного разраба и возможность автоматом смотреть диффы...ну, короче, полноценную систему управления репо с проверкой авторов на продажу аккаунтов.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено пох. , 24-Июн-21 12:49 
> пакеты из китая

Не, ну вот китайцев-то ты за что? Марат явно не китаец.

Что-то мне подсказывает, что и не француз даже. Кем бы это он мог бы быть, действительно...

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено ryoken , 24-Июн-21 12:54 
А чо не так с Маратами? Где я долгое время жил (Башкирия) - вполне стандартное имя :D.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено пох. , 24-Июн-21 12:57 
Дык, я и говорю, причем бы тут китайцы... те свои трояны обычно не опенсорсят, а то что у них не трояны - все равно использовать не получается.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 16:24 
Сегодня очень много кода пишется китайцами. Нейронки, мобильные приложения, самые различные батарейки для всего. С точки зрения белого человека, у них часто стрёмный код, но, обычно, он работает, и адаптировать его вполне возможно в разумные сроки. Китайцы тут при том, что китайцы большие любители малвари и протрояненного вареза.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено YetAnotherOnanym , 24-Июн-21 15:34 
Угу. А есть края, где Аза - вполне обычное женское имя.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено ryoken , 24-Июн-21 15:53 
> Угу. А есть края, где Аза - вполне обычное женское имя.

Про женское - не слышал. Там это было сокращённое мужское, Азат :).

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено YetAnotherOnanym , 24-Июн-21 21:06 
Ага, и такое попадалось.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено пох. , 24-Июн-21 20:18 
Ну тыж не я)
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено YetAnotherOnanym , 24-Июн-21 12:41 
Учитывая специфику подготовки питонистов, им на трёхмесячных курсах могли и не рассказать, что такое в принципе может произойти. Поэтому есть риск, что обнаружение малвари в питонолибах останется незамеченными большей частью питонистов, что чревато проблемами для ни в чём не повинных мирных граждан. Так что лучше оповестить всех лишний раз.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено пох. , 24-Июн-21 12:52 
Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий на ходу что-то с шитхаба - все как у взрослых!

> что чревато проблемами для ни в чём не повинных мирных граждан.

а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если точно будут знать что он майнит.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено YetAnotherOnanym , 24-Июн-21 21:07 
Так это не ему, он м.б. вообще опеннет не читает.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено пох. , 25-Июн-21 00:20 
> Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий
> на ходу что-то с шитхаба - все как у взрослых!
>> что чревато проблемами для ни в чём не повинных мирных граждан.
> а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени
> давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если
> точно будут знать что он майнит.

Заканчивай писать от моего имени, слышишь Марат

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено пох. , 24-Июн-21 12:53 
завидуй молча! У чувака пять тыщ майнеров. А тебе опять премию не дадут.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Жироватт , 24-Июн-21 12:24 
Никогда такого не было, и вдруг снова?
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено OnTheEdge , 24-Июн-21 12:29 
это скорее к npm-репозитарию, хотя один фиг, судя по всему
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 13:27 
> это скорее к npm-репозитарию, хотя один фиг, судя по всему

Только вот незадача: на npm "услугах" зашлибают нехилую деньгу - в отличие от.  

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Lex , 24-Июн-21 13:40 
Дыры нашли в питоновских проектах, но, разумеется, "ты туда не смотри - ты на нпм смотри".
У последнего, кстати, и пакетов раз 8 больше
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 14:44 
>> Вредоносный код был размещён в библиотеке maratlib
> Дыры нашли в питоновских проектах,

Найди дыру в своей опе, которой ты читал новость ...

> но, разумеется, "ты туда не смотри - ты на нпм смотри".
> У последнего, кстати, и пакетов раз 8 больше

За первым, кстати, нет никакой PyPI Inc.
Но опеннетные "спецы", сравнивающие опу с пальцем, не переводятся.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 14:14 
При чем здесь npm? Это везде где есть пакетный менеджер.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 12:31 
Из заголовка сперва подумал что это общая сводка и сразу такой "что-то маловато"
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 12:34 
> maratlib

Марат, поджигай!

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"
Отправлено eRIC , 24-Июн-21 13:45 
Marat Nedogimov беги
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Tifereth , 24-Июн-21 14:15 
Ну и чему удивляться?

В Пипу кто хочешь может залить что угодно. Так что были такие заподлянки, есть и будут. С ходу и не вижу эффективного способа как-то помешать такому использованию. Так, чтобы Пипа при этом оставалась мало-мальски удобной для работы.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 15:04 
> С ходу и не вижу эффективного способа как-то помешать такому использованию.

Просто не использовать неизвестные библиотеки без ревью, в pypi не надо ничего менять для этого

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Tifereth , 25-Июн-21 03:28 
Это как бы естественная гигиена (о которой, естественно, все забывают).

На мой взгляд, недобрый человек может действовать тоньше, и вредоносность может включаться не сразу, и обзор, на первый взгляд, ничего подозрительного не выдаст.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 25-Июн-21 12:45 
Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код. А ситуацию с Node.js представь там в Hello, world под тысячу зависимостей.
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 25-Июн-21 14:11 
> Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код.

Это преувеличение, если библиотека популярная как например django или sqlalchemy то там и без нас полно ревьюверов и их зависимостей в том числе, как среди авторов библиотеки так и среди её пользователей. Речь идёт о редких и малопопулярных библиотеках которые вполне возможно что никто и не ревьювил.

> двумя землекопами

Это повод выбирать другие более распространённые библиотеки.

> А ситуацию с Node.js представь

Нет возможности ревьювить — значит просто не используем, я например не использую Node.js и из-за этого в том числе.

Сейчас кстати Go по этому же пути nodejs идёт, а там вообще бинарники скомпилированные, вот там будет очень весело :-)

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Tifereth , 28-Июн-21 07:04 
В идеале - да.

В реальности могут быть зависимости между пакетами, и проверка может, внезапно, стать исследовательской работой. В особенности, если возникает зависимость от чего-то ранее неизвестного (а библиотека уже вовсю используется).

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Массоны Рептилоиды , 24-Июн-21 14:15 
Марат ни в чём не виноват!
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Sergey , 24-Июн-21 15:13 
А разве с pypi не колеса ставят ?
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено ТовМайор , 24-Июн-21 15:42 
>marat
>aza
>майнинг

Такс щас посмотрим в секретном екселе сколько таких инклюзивных хацкеров.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 16:02 
Мне каждый раз довольно стрёмно использовать анонимные нонейм батарейки от китайских друзей, поэтому я копирую код себе и не использую чужие бинари. К сожалению, не всё компилируется в принципе, скажем, у меня проблемы с компиляцией blis, tensorflow и pyppeteer.

Вот пример такого кода https://snyk.io/advisor/python/bing-translation-for-python (относительно хороший сервис, позволяющий быстро прикинуть, насколько та или иная батарейка вообще жива).

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 16:05 
Тут написано, что не очень здоровый пакет, у меня он просто не компилируется https://snyk.io/advisor/python/blis
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 24-Июн-21 16:13 
С другой стороны, селениум, 3 года не имеющий релизов (и который был всё вместе с phantomjs), там под 90 баллов (из гита конечно можно установить альфа-версию, если очень хочется, да ведь это не то).
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено commiethebeastie , 24-Июн-21 19:28 
>Из setup.py загружался с GitHub и запускался bash-скрипт aza.sh, который в свою очередь загружал и запускал приложения для майнинга криптовалют Ubqminer или T-Rex.

Запускает sh из питона.

Адепты кали линукса добрались до реп.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Ivan_83 , 25-Июн-21 13:43 
И остальные 100500 ещё не найдены :)
"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено Аноним , 25-Июн-21 14:17 
>marat
>azaza

Российские ребята, походу.

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."
Отправлено remort , 27-Июн-21 11:24 
Этническая преступность. Теперь еще и с татарским душком.