Раскрыта информация о жертвах фишинга, о котором на днях предупреждали администраторы репозитория Python-пакетов PyPI (Python Package Index). В результате рассылки сообщений с уведомлением о необходимости подтвердить свой email, которые ссылались на поддельный сайт pypj.org (буква "j" вместо "i"), удалось захватить учётные записи 4 сопровождающих...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63656

• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 23:48 , 31-Июл-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 00:44 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 06:18 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 07:08 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним10084 и 1008465039, 07:35 , 01-Авг-25
        • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 18:04 , 05-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 11:54 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 08:53 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Эксперт, 10:07 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,User, 12:43 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Жироватт, 11:11 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,User, 12:46 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,bergentroll, 08:57 , 01-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 00:46 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Ангним, 06:44 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 09:27 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 10:11 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним9000, 15:48 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 16:16 , 01-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 01:20 , 01-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 01:58 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 06:07 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 06:21 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,MazikOttogi, 06:36 , 01-Авг-25
        • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 11:19 , 01-Авг-25
          • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,MazikOttogi, 18:07 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 14:48 , 02-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,jkl2025, 04:02 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 06:23 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 06:42 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 07:05 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 07:15 , 01-Авг-25
        • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 07:51 , 01-Авг-25
      • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 07:33 , 01-Авг-25
        • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 08:00 , 01-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 06:46 , 01-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 07:04 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 08:47 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 15:21 , 01-Авг-25
    • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 18:22 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 18:43 , 01-Авг-25
• Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 12:53 , 01-Авг-25
  • Перехвачены 4 учётные записи в PyPI и выпущены вредоносные р...,Аноним, 15:29 , 01-Авг-25

Если хочешь чтобы твоя учётка утекла — ничто не сможет тебе помешать.

> Модуль ... предоставляет функции для преобразования чисел в текстовое представление

Н-да... Даже такое качают. Вся суть файлопомоек.

> Вся суть файлопомоек.

Поправил.
> Вся суть Питона.

Если посмотреть код питона, то волосы в жилах стынут у нормальных людей.

У нормальных людей волос в жилах нет, чтобы им в них стыть

Значит кровь дыбом встает

и не только питона, но и безопасных языков с крейтами.

>> Модуль ... предоставляет функции для преобразования чисел в текстовое представление
> Н-да... Даже такое качают. Вся суть файлопомоек

Тебе ставят задачу: нужно число 321.1 преобразовать в строку "триста двадцать одна целая и одна десятая" и чтобы работало в разных локалях. Твои действия, эксперт?

Разумеется, спрошу чатгопоту (два раза - сперва скопипастив твою "задачу", а получив "решение" new-str="триста двадцать одна целая и одна десятая" - задав настоящую), получу в ответ кусок кода req num2words, обнаружу что она не поддерживает русский, заплачу, кину все кубики в кошку.

Бывалый!

Возьму модуль из БСП 1С?

Ну, оно и для одного русского языка - не тривиально, если что. А если еще и падеж правильный нужен м-ммм...

> Н-да... Даже такое качают. Вся суть файлопомоек.

** картинка с надменным скуфо́м «жаль, не все поймут» **

>Для обхода защиты учётной записи при помощи двухфакторной аутентификации атакующие использовали

Видимо одной двухфкторной аунтификации мало, нужно а трехфактрная, или четырех факторная. Сначала вводишь пароль, потом пароль сгенерированный, потом ключфайл, потом нужно посвятить лицом на камеру, что-нибудь спеть и сплясать. А ИИ определит это оригинальный автор учётки не так активно отплясывает как раньше или его пяти факторную защиту пытаются взломать.

Или просто использовать менеджер паролей, который не предложит подставить креды на сайте, отличающемся в одну букву.

кого это останавливало?
> Менеджер паролей 1Password автоматически не заполнил форму входа, но и это было проигнорировано.

https://www.opennet.dev/opennews/art.shtml?num=62964

Потому что из-за бесконечных редизайнов и улучшизмов - он без конца так делает на вполне валидных сайтах.

Passkey.

Сразу интернет по паспорту!

> Для обхода защиты учётной записи при помощи двухфакторной аутентификации атакующие использовали прозрачное проксирование трафика с фишингового сайта pypj.org на реальный сайт pypi.org

Вариант атаки "обман, выполненный мафией".

Да профиксите уже латынь - уберите j или i.
И ещё есть баг с клавиатурой, буквы "m" и "n" находятся рядом - тоже перепутают!

В латыни "I i" и "J j" -- это разные графические представления одной и той же буквы. Примерно как в кириллице буква "Г г" имеет графический аналог "Ƨ ƨ".

Опять поиск привычного следа? В кириллице нет "i" и  "j". Оставьте их уж себе вместе со всеми иными "преимуществами".

Взорвался на ровном месте, несите следующего

Ваши оскорбления подтверждают, что попытка выстроить сомнительную логическую цепочку была целенаправленной провокацией.

Сначала невежливость на простую аналогию анонима выше, теперь "оскорбления и целенаправленные провокации". Спокойствия там, никто даже не хамил в ответ.

> В кириллице нет "i" и  "j".

И, Й, Ы....

Надо было владельцам pypi.org регистрировать заодно и pypj.org

Microsoft и другие так и делают. Но у этих, видимо, 1000 руб. в год не нашлось на поддержку имени (даже сайт хостить не нужно).

Сколько ты им пожертвовал, чтобы было 1000 руб. в год?

Зачем им жертвовать когда они дураки и не лечатся?

Зачем платить? Если можно заплатить только за интернет, а всё остальное с зелёного магазина.
Пока другие "грамотные потребители" платят подписки и делаются доступа, другие направляют эти деньги на домашний сервер, где есть библиотека контента, в высоком качестве, с несколькими языковыми дорожками, нативно без лишних приложений, без DRM, оффлайн...

Ещё можно Wi-Fi соседа использовать

> Сколько ты им пожертвовал, чтобы было 1000 руб. в год?

Майкрософту? Нисколько. Я у них Windows и коробочный Office стандарт купил.

Ну и зря, если ты не юр лицо конечно. Запланированное устаривание не кто не отменял.

А если Windows 11, то можно спокойно сказать версию Pro, и офис pro тоже активировать парой команд. А если роутер позволяет, то её можно поднять на нём автоматическую активациию)

Хоть прячься хоть не прячься...

отсыпьте пожалуйста фишинговых сайтов.. эксперименты попроводить над ними

Пакет для преобразования строки в считали и версия аж 0.5.12? CS настолько в упадке, что там учат только требовать огромную зп? Мдааа

> Пакет для преобразования строки в считали

Во что преобразования, простите?

> Пакет для преобразования строки в считали и версия аж 0.5.12? CS настолько в упадке, что там учат только требовать огромную зп? Мдааа

Огромную - не огромную, но точно выше чем у тех кому не хватает извилин даже прикинуть количество языков в обращении в мире и сложить с пониманием того что их поддержка, очевидно, будет добавляться постепенно и по одному, и после каждого добавленного языка будет релиз, не считая релизов ради других вещей типа багфиксов, оптимизаций и обновления документации.

Т.е. можно даже не ждать их, а сделать самим код под нужные конкретные языки.

Претензии лучше по делу. В стандартной библиотеке С/С++, как и в других языках, тоже есть функции работы со строками и преобразования типов и строк. Зачем их писать самому-то?

Мда, печально, но закономерно. Чтож, они сами выбрали такую модель распространения пакетов. Ждем такие же новости из лагеря свалочников.

А что такого уникального в их модели? Выфишить доступ можно куда угодно, хоть к crates.io, хоть к гитхабу, хоть к cpan, хоть к репозиториям дистрибутивов. Нельзя разве что к локалхостам, но если все будут хостить свой код на локалхостах риски будут намного выше.