forum.opennet.ru - "В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов" (46)

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"	+/–
Сообщение от opennews (??), 24-Июн-21, 12:21
В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib,... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55384
Ответить \| Правка \| Cообщить модератору

Оглавление

А это точно стоит отдельной новости , Аноним (1), 12:21 , 24-Июн-21, (1) –1

она 8212 мини, OnTheEdge (??), 12:27 , 24-Июн-21, (3) +2

а надо - нано, Аноним (15), 13:16 , 24-Июн-21, (15) –3

может мили микро для начала нано 8212 отличный текстовый редактор, к слову, OnTheEdge (ok), 14:19 , 24-Июн-21, (23) +1

мили микро это когда firefox выпускает обновления , Аноним (25), 14:47 , 24-Июн-21, (25)

Стоит Червяк -- самый небезопасный из интерпретируемых языков Это, кстати, сле, adolfus (ok), 16:51 , 25-Июн-21, (50)

Ну, это вы загнули В npm все намного стремнее, и там такие истории были многокр, Stax (ok), 15:19 , 26-Июн-21, (51)

Стоит Пока по всем вот этим спидозным накопителям не нарисуют сайт-несайт, в ре, Жироватт (ok), 12:29 , 24-Июн-21, (5) +4

Не, ну вот китайцев-то ты за что Марат явно не китаец Что-то мне подсказывает, , пох. (?), 12:49 , 24-Июн-21, (9)

А чо не так с Маратами Где я долгое время жил Башкирия - вполне стандартное и, ryoken (ok), 12:54 , 24-Июн-21, (12) –1

Дык, я и говорю, причем бы тут китайцы те свои трояны обычно не опенсорсят, а, пох. (?), 12:57 , 24-Июн-21, (13) –1

Сегодня очень много кода пишется китайцами Нейронки, мобильные приложения, самы, Аноним (34), 16:24 , 24-Июн-21, (34)

Угу А есть края, где Аза - вполне обычное женское имя , YetAnotherOnanym (ok), 15:34 , 24-Июн-21, (28)

Про женское - не слышал Там это было сокращённое мужское, Азат , ryoken (ok), 15:53 , 24-Июн-21, (30)

Ага, и такое попадалось , YetAnotherOnanym (ok), 21:06 , 24-Июн-21, (38)

Ну тыж не я , пох. (?), 20:18 , 24-Июн-21, (37)

Учитывая специфику подготовки питонистов, им на трёхмесячных курсах могли и не р, YetAnotherOnanym (ok), 12:41 , 24-Июн-21, (8) +5

Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup py тянущий на, пох. (?), 12:52 , 24-Июн-21, (10) –2

Так это не ему, он м б вообще опеннет не читает , YetAnotherOnanym (ok), 21:07 , 24-Июн-21, (39) –1
Заканчивай писать от моего имени, слышишь Марат, пох. (?), 00:20 , 25-Июн-21, (42)

завидуй молча У чувака пять тыщ майнеров А тебе опять премию не дадут , пох. (?), 12:53 , 24-Июн-21, (11) –2

Никогда такого не было, и вдруг снова , Жироватт (ok), 12:24 , 24-Июн-21, (2)

это скорее к npm-репозитарию, хотя один фиг, судя по всему, OnTheEdge (??), 12:29 , 24-Июн-21, (4) +1

Только вот незадача на npm услугах зашлибают нехилую деньгу - в отличие от , Аноним (-), 13:27 , 24-Июн-21, (16)
Дыры нашли в питоновских проектах, но, разумеется, ты туда не смотри - ты на нп, Lex (??), 13:40 , 24-Июн-21, (18) –7

Найди дыру в своей опе, которой ты читал новость За первым, кстати, нет никак, Аноним (-), 14:44 , 24-Июн-21, (24)

При чем здесь npm Это везде где есть пакетный менеджер , Аноним (20), 14:14 , 24-Июн-21, (20) +1

Из заголовка сперва подумал что это общая сводка и сразу такой что-то маловато , Аноним (6), 12:31 , 24-Июн-21, (6)
Марат, поджигай , Аноним (7), 12:34 , 24-Июн-21, (7) +1
Marat Nedogimov беги, eRIC (ok), 13:45 , 24-Июн-21, (19) +4
Ну и чему удивляться В Пипу кто хочешь может залить что угодно Так что были так, Tifereth (ok), 14:15 , 24-Июн-21, (21)

Просто не использовать неизвестные библиотеки без ревью, в pypi не надо ничего м, Аноним (26), 15:04 , 24-Июн-21, (26) +3

Это как бы естественная гигиена о которой, естественно, все забывают На мой вз, Tifereth (ok), 03:28 , 25-Июн-21, (43)
Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут , Аноним (46), 12:45 , 25-Июн-21, (46)

Это преувеличение, если библиотека популярная как например django или sqlalchemy, Аноним (48), 14:11 , 25-Июн-21, (48)

В идеале - да В реальности могут быть зависимости между пакетами, и проверка мо, Tifereth (ok), 07:04 , 28-Июн-21, (53)

Марат ни в чём не виноват , Массоны Рептилоиды (?), 14:15 , 24-Июн-21, (22)
А разве с pypi не колеса ставят , Sergey (??), 15:13 , 24-Июн-21, (27)
Такс щас посмотрим в секретном екселе сколько таких инклюзивных хацкеров , ТовМайор (?), 15:42 , 24-Июн-21, (29)
Мне каждый раз довольно стрёмно использовать анонимные нонейм батарейки от китай, Аноним (34), 16:02 , 24-Июн-21, (31) –2

Тут написано, что не очень здоровый пакет, у меня он просто не компилируется htt, Аноним (34), 16:05 , 24-Июн-21, (32)
С другой стороны, селениум, 3 года не имеющий релизов и который был всё вместе , Аноним (34), 16:13 , 24-Июн-21, (33)

Запускает sh из питона Адепты кали линукса добрались до реп , commiethebeastie (ok), 19:28 , 24-Июн-21, (36) +1
И остальные 100500 ещё не найдены , Ivan_83 (ok), 13:43 , 25-Июн-21, (47)
Российские ребята, походу , Аноним (49), 14:17 , 25-Июн-21, (49) +1
Этническая преступность Теперь еще и с татарским душком , remort (?), 11:24 , 27-Июн-21, (52)

Сообщения [Сортировка по времени | RSS]

1. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –1 +/–

Сообщение от Аноним (1), 24-Июн-21, 12:21

А это точно стоит отдельной новости?

Ответить | Правка | Наверх | Cообщить модератору

3. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +2 +/–

Сообщение от OnTheEdge (??), 24-Июн-21, 12:27

она — мини

Ответить | Правка | Наверх | Cообщить модератору

15. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –3 +/–

Сообщение от Аноним (15), 24-Июн-21, 13:16

а надо - нано

Ответить | Правка | Наверх | Cообщить модератору

23. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +1 +/–

Сообщение от OnTheEdge (ok), 24-Июн-21, 14:19

может мили/микро для начала? нано — отличный текстовый редактор, к слову

Ответить | Правка | Наверх | Cообщить модератору

25. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (25), 24-Июн-21, 14:47

мили/микро это когда firefox выпускает обновления.

Ответить | Правка | Наверх | Cообщить модератору

50. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от adolfus (ok), 25-Июн-21, 16:51

Стоит. Червяк -- самый небезопасный из интерпретируемых языков. Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек. Полная ассоциация с фавелами в Бразилии -- самострой и глобальная помойка. Ну и отступы еще добавляют адреналина...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

51. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Stax (ok), 26-Июн-21, 15:19

> Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек
Ну, это вы загнули. В npm все намного стремнее, и там такие истории были многократно.

Ответить | Правка | Наверх | Cообщить модератору

5. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +4 +/–

Сообщение от Жироватт (ok), 24-Июн-21, 12:29

Стоит. Пока по всем вот этим спидозным накопителям не нарисуют сайт-несайт, в реальном времени отражающий текущую ситуёвину с самим репо и найденными вредоносами.
С блекджеком, пионерками, архивом статистики по самым разным метаданным пакетов, возможностью отбора трендов и таймланов, возможностью отправки юзерского фидбека, полуавтоматической ловлей подозрительно подозрительных (очень большой коэффициент likely в названии с популярными пакетами, пакеты из китая, рекламных говноконторок, мелких говноконторок "РогаКопыта Ltd." и от недавно зарегистрированных нонеймов, пакеты с накруткой рейтинга и установок...) и подозрительно неподозрительных пакетов (резких обновлений с нехарактерным кодом, указания реальным кодером угона его акков с последующим блоком любых апдейтов его пакетов до аудита, и т.п.), с обновлениями индекса и веделениями "новых" пакетов, с рейтингами у каждого автоматом внесенного разраба и возможность автоматом смотреть диффы...ну, короче, полноценную систему управления репо с проверкой авторов на продажу аккаунтов.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

9. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от пох. (?), 24-Июн-21, 12:49

> пакеты из китая
Не, ну вот китайцев-то ты за что? Марат явно не китаец.
Что-то мне подсказывает, что и не француз даже. Кем бы это он мог бы быть, действительно...

Ответить | Правка | Наверх | Cообщить модератору

12. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –1 +/–

Сообщение от ryoken (ok), 24-Июн-21, 12:54

А чо не так с Маратами? Где я долгое время жил (Башкирия) - вполне стандартное имя :D.

Ответить | Правка | Наверх | Cообщить модератору

13. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –1 +/–

Сообщение от пох. (?), 24-Июн-21, 12:57

Дык, я и говорю, причем бы тут китайцы... те свои трояны обычно не опенсорсят, а то что у них не трояны - все равно использовать не получается.

Ответить | Правка | Наверх | Cообщить модератору

34. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (34), 24-Июн-21, 16:24

Сегодня очень много кода пишется китайцами. Нейронки, мобильные приложения, самые различные батарейки для всего. С точки зрения белого человека, у них часто стрёмный код, но, обычно, он работает, и адаптировать его вполне возможно в разумные сроки. Китайцы тут при том, что китайцы большие любители малвари и протрояненного вареза.

Ответить | Правка | Наверх | Cообщить модератору

28. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 15:34

Угу. А есть края, где Аза - вполне обычное женское имя.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от ryoken (ok), 24-Июн-21, 15:53

> Угу. А есть края, где Аза - вполне обычное женское имя.
Про женское - не слышал. Там это было сокращённое мужское, Азат :).

Ответить | Правка | Наверх | Cообщить модератору

38. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:06

Ага, и такое попадалось.

Ответить | Правка | Наверх | Cообщить модератору

37. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от пох. (?), 24-Июн-21, 20:18

Ну тыж не я)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

8. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +5 +/–

Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 12:41

Учитывая специфику подготовки питонистов, им на трёхмесячных курсах могли и не рассказать, что такое в принципе может произойти. Поэтому есть риск, что обнаружение малвари в питонолибах останется незамеченными большей частью питонистов, что чревато проблемами для ни в чём не повинных мирных граждан. Так что лучше оповестить всех лишний раз.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –2 +/–

Сообщение от пох. (?), 24-Июн-21, 12:52

Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий на ходу что-то с шитхаба - все как у взрослых!
> что чревато проблемами для ни в чём не повинных мирных граждан.
а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если точно будут знать что он майнит.

Ответить | Правка | Наверх | Cообщить модератору

39. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –1 +/–

Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:07

Так это не ему, он м.б. вообще опеннет не читает.

Ответить | Правка | Наверх | Cообщить модератору

42. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от пох. (?), 25-Июн-21, 00:20

> Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий
> на ходу что-то с шитхаба - все как у взрослых!
>> что чревато проблемами для ни в чём не повинных мирных граждан.
> а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени
> давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если
> точно будут знать что он майнит.
Заканчивай писать от моего имени, слышишь Марат

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –2 +/–

Сообщение от пох. (?), 24-Июн-21, 12:53

завидуй молча! У чувака пять тыщ майнеров. А тебе опять премию не дадут.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Жироватт (ok), 24-Июн-21, 12:24

Никогда такого не было, и вдруг снова?

Ответить | Правка | Наверх | Cообщить модератору

4. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +1 +/–

Сообщение от OnTheEdge (??), 24-Июн-21, 12:29

это скорее к npm-репозитарию, хотя один фиг, судя по всему

Ответить | Правка | Наверх | Cообщить модератору

16. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (-), 24-Июн-21, 13:27

> это скорее к npm-репозитарию, хотя один фиг, судя по всему
Только вот незадача: на npm "услугах" зашлибают нехилую деньгу - в отличие от.

Ответить | Правка | Наверх | Cообщить модератору

18. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –7 +/–

Сообщение от Lex (??), 24-Июн-21, 13:40

Дыры нашли в питоновских проектах, но, разумеется, "ты туда не смотри - ты на нпм смотри".
У последнего, кстати, и пакетов раз 8 больше

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (-), 24-Июн-21, 14:44

>> Вредоносный код был размещён в библиотеке maratlib
> Дыры нашли в питоновских проектах,
Найди дыру в своей опе, которой ты читал новость ...
> но, разумеется, "ты туда не смотри - ты на нпм смотри".
> У последнего, кстати, и пакетов раз 8 больше
За первым, кстати, нет никакой PyPI Inc.
Но опеннетные "спецы", сравнивающие опу с пальцем, не переводятся.

Ответить | Правка | Наверх | Cообщить модератору

20. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +1 +/–

Сообщение от Аноним (20), 24-Июн-21, 14:14

При чем здесь npm? Это везде где есть пакетный менеджер.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (6), 24-Июн-21, 12:31

Из заголовка сперва подумал что это общая сводка и сразу такой "что-то маловато"

Ответить | Правка | Наверх | Cообщить модератору

7. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +1 +/–

Сообщение от Аноним (7), 24-Июн-21, 12:34

> maratlib
Марат, поджигай!

Ответить | Правка | Наверх | Cообщить модератору

19. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов" +4 +/–

Сообщение от eRIC (ok), 24-Июн-21, 13:45

Marat Nedogimov беги

Ответить | Правка | Наверх | Cообщить модератору

21. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Tifereth (ok), 24-Июн-21, 14:15

Ну и чему удивляться?
В Пипу кто хочешь может залить что угодно. Так что были такие заподлянки, есть и будут. С ходу и не вижу эффективного способа как-то помешать такому использованию. Так, чтобы Пипа при этом оставалась мало-мальски удобной для работы.

Ответить | Правка | Наверх | Cообщить модератору

26. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +3 +/–

Сообщение от Аноним (26), 24-Июн-21, 15:04

> С ходу и не вижу эффективного способа как-то помешать такому использованию.
Просто не использовать неизвестные библиотеки без ревью, в pypi не надо ничего менять для этого

Ответить | Правка | Наверх | Cообщить модератору

43. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Tifereth (ok), 25-Июн-21, 03:28

Это как бы естественная гигиена (о которой, естественно, все забывают).
На мой взгляд, недобрый человек может действовать тоньше, и вредоносность может включаться не сразу, и обзор, на первый взгляд, ничего подозрительного не выдаст.

Ответить | Правка | Наверх | Cообщить модератору

46. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (46), 25-Июн-21, 12:45

Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код. А ситуацию с Node.js представь там в Hello, world под тысячу зависимостей.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

48. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (48), 25-Июн-21, 14:11

> Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код.
Это преувеличение, если библиотека популярная как например django или sqlalchemy то там и без нас полно ревьюверов и их зависимостей в том числе, как среди авторов библиотеки так и среди её пользователей. Речь идёт о редких и малопопулярных библиотеках которые вполне возможно что никто и не ревьювил.
> двумя землекопами
Это повод выбирать другие более распространённые библиотеки.
> А ситуацию с Node.js представь
Нет возможности ревьювить — значит просто не используем, я например не использую Node.js и из-за этого в том числе.
Сейчас кстати Go по этому же пути nodejs идёт, а там вообще бинарники скомпилированные, вот там будет очень весело :-)

Ответить | Правка | Наверх | Cообщить модератору

53. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Tifereth (ok), 28-Июн-21, 07:04

В идеале - да.
В реальности могут быть зависимости между пакетами, и проверка может, внезапно, стать исследовательской работой. В особенности, если возникает зависимость от чего-то ранее неизвестного (а библиотека уже вовсю используется).

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

22. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Массоны Рептилоиды (?), 24-Июн-21, 14:15

Марат ни в чём не виноват!

Ответить | Правка | Наверх | Cообщить модератору

27. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Sergey (??), 24-Июн-21, 15:13

А разве с pypi не колеса ставят ?

Ответить | Правка | Наверх | Cообщить модератору

29. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от ТовМайор (?), 24-Июн-21, 15:42

>marat
>aza
>майнинг
Такс щас посмотрим в секретном екселе сколько таких инклюзивных хацкеров.

Ответить | Правка | Наверх | Cообщить модератору

31. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." –2 +/–

Сообщение от Аноним (34), 24-Июн-21, 16:02

Мне каждый раз довольно стрёмно использовать анонимные нонейм батарейки от китайских друзей, поэтому я копирую код себе и не использую чужие бинари. К сожалению, не всё компилируется в принципе, скажем, у меня проблемы с компиляцией blis, tensorflow и pyppeteer.
Вот пример такого кода https://snyk.io/advisor/python/bing-translation-for-python (относительно хороший сервис, позволяющий быстро прикинуть, насколько та или иная батарейка вообще жива).

Ответить | Правка | Наверх | Cообщить модератору

32. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (34), 24-Июн-21, 16:05

Тут написано, что не очень здоровый пакет, у меня он просто не компилируется https://snyk.io/advisor/python/blis

Ответить | Правка | Наверх | Cообщить модератору

33. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Аноним (34), 24-Июн-21, 16:13

С другой стороны, селениум, 3 года не имеющий релизов (и который был всё вместе с phantomjs), там под 90 баллов (из гита конечно можно установить альфа-версию, если очень хочется, да ведь это не то).

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

36. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +1 +/–

Сообщение от commiethebeastie (ok), 24-Июн-21, 19:28

>Из setup.py загружался с GitHub и запускался bash-скрипт aza.sh, который в свою очередь загружал и запускал приложения для майнинга криптовалют Ubqminer или T-Rex.
Запускает sh из питона.
Адепты кали линукса добрались до реп.

Ответить | Правка | Наверх | Cообщить модератору

47. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от Ivan_83 (ok), 25-Июн-21, 13:43

И остальные 100500 ещё не найдены :)

Ответить | Правка | Наверх | Cообщить модератору

49. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +1 +/–

Сообщение от Аноним (49), 25-Июн-21, 14:17

>marat
>azaza
Российские ребята, походу.

Ответить | Правка | Наверх | Cообщить модератору

52. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..." +/–

Сообщение от remort (?), 27-Июн-21, 11:24

Этническая преступность. Теперь еще и с татарским душком.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–1 +/–
Сообщение от Аноним (1), 24-Июн-21, 12:21
А это точно стоит отдельной новости?
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+2 +/–
	Сообщение от OnTheEdge (??), 24-Июн-21, 12:27
	она — мини
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–3 +/–
	Сообщение от Аноним (15), 24-Июн-21, 13:16
	а надо - нано
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+1 +/–
	Сообщение от OnTheEdge (ok), 24-Июн-21, 14:19
	может мили/микро для начала? нано — отличный текстовый редактор, к слову
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от Аноним (25), 24-Июн-21, 14:47
	мили/микро это когда firefox выпускает обновления.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от adolfus (ok), 25-Июн-21, 16:51
	Стоит. Червяк -- самый небезопасный из интерпретируемых языков. Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек. Полная ассоциация с фавелами в Бразилии -- самострой и глобальная помойка. Ну и отступы еще добавляют адреналина...
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	51. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от Stax (ok), 26-Июн-21, 15:19
	> Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек Ну, это вы загнули. В npm все намного стремнее, и там такие истории были многократно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+4 +/–
	Сообщение от Жироватт (ok), 24-Июн-21, 12:29
	Стоит. Пока по всем вот этим спидозным накопителям не нарисуют сайт-несайт, в реальном времени отражающий текущую ситуёвину с самим репо и найденными вредоносами. С блекджеком, пионерками, архивом статистики по самым разным метаданным пакетов, возможностью отбора трендов и таймланов, возможностью отправки юзерского фидбека, полуавтоматической ловлей подозрительно подозрительных (очень большой коэффициент likely в названии с популярными пакетами, пакеты из китая, рекламных говноконторок, мелких говноконторок "РогаКопыта Ltd." и от недавно зарегистрированных нонеймов, пакеты с накруткой рейтинга и установок...) и подозрительно неподозрительных пакетов (резких обновлений с нехарактерным кодом, указания реальным кодером угона его акков с последующим блоком любых апдейтов его пакетов до аудита, и т.п.), с обновлениями индекса и веделениями "новых" пакетов, с рейтингами у каждого автоматом внесенного разраба и возможность автоматом смотреть диффы...ну, короче, полноценную систему управления репо с проверкой авторов на продажу аккаунтов.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	9. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от пох. (?), 24-Июн-21, 12:49
	> пакеты из китая Не, ну вот китайцев-то ты за что? Марат явно не китаец. Что-то мне подсказывает, что и не француз даже. Кем бы это он мог бы быть, действительно...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–1 +/–
	Сообщение от ryoken (ok), 24-Июн-21, 12:54
	А чо не так с Маратами? Где я долгое время жил (Башкирия) - вполне стандартное имя :D.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–1 +/–
	Сообщение от пох. (?), 24-Июн-21, 12:57
	Дык, я и говорю, причем бы тут китайцы... те свои трояны обычно не опенсорсят, а то что у них не трояны - все равно использовать не получается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от Аноним (34), 24-Июн-21, 16:24
	Сегодня очень много кода пишется китайцами. Нейронки, мобильные приложения, самые различные батарейки для всего. С точки зрения белого человека, у них часто стрёмный код, но, обычно, он работает, и адаптировать его вполне возможно в разумные сроки. Китайцы тут при том, что китайцы большие любители малвари и протрояненного вареза.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 15:34
	Угу. А есть края, где Аза - вполне обычное женское имя.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	30. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от ryoken (ok), 24-Июн-21, 15:53
	> Угу. А есть края, где Аза - вполне обычное женское имя. Про женское - не слышал. Там это было сокращённое мужское, Азат :).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:06
	Ага, и такое попадалось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от пох. (?), 24-Июн-21, 20:18
	Ну тыж не я)
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	8. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+5 +/–
	Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 12:41
	Учитывая специфику подготовки питонистов, им на трёхмесячных курсах могли и не рассказать, что такое в принципе может произойти. Поэтому есть риск, что обнаружение малвари в питонолибах останется незамеченными большей частью питонистов, что чревато проблемами для ни в чём не повинных мирных граждан. Так что лучше оповестить всех лишний раз.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	10. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–2 +/–
	Сообщение от пох. (?), 24-Июн-21, 12:52
	Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий на ходу что-то с шитхаба - все как у взрослых! > что чревато проблемами для ни в чём не повинных мирных граждан. а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если точно будут знать что он майнит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–1 +/–
	Сообщение от YetAnotherOnanym (ok), 24-Июн-21, 21:07
	Так это не ему, он м.б. вообще опеннет не читает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от пох. (?), 25-Июн-21, 00:20
	> Ну норм у Марата подготовка - смотри, зависимости, код реюз, setup.py тянущий > на ходу что-то с шитхаба - все как у взрослых! >> что чревато проблемами для ни в чём не повинных мирных граждан. > а гражданы все равно ничего не смогут поправить в своем чудо-сайтике, имени > давно канувшего в лету украинского аутсорсера за пиццор ржублей. Даже если > точно будут знать что он майнит. Заканчивай писать от моего имени, слышишь Марат
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	11. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–2 +/–
	Сообщение от пох. (?), 24-Июн-21, 12:53
	завидуй молча! У чувака пять тыщ майнеров. А тебе опять премию не дадут.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
Сообщение от Жироватт (ok), 24-Июн-21, 12:24
Никогда такого не было, и вдруг снова?
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+1 +/–
	Сообщение от OnTheEdge (??), 24-Июн-21, 12:29
	это скорее к npm-репозитарию, хотя один фиг, судя по всему
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от Аноним (-), 24-Июн-21, 13:27
	> это скорее к npm-репозитарию, хотя один фиг, судя по всему Только вот незадача: на npm "услугах" зашлибают нехилую деньгу - в отличие от.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	–7 +/–
	Сообщение от Lex (??), 24-Июн-21, 13:40
	Дыры нашли в питоновских проектах, но, разумеется, "ты туда не смотри - ты на нпм смотри". У последнего, кстати, и пакетов раз 8 больше
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	24. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
	Сообщение от Аноним (-), 24-Июн-21, 14:44
	>> Вредоносный код был размещён в библиотеке maratlib > Дыры нашли в питоновских проектах, Найди дыру в своей опе, которой ты читал новость ... > но, разумеется, "ты туда не смотри - ты на нпм смотри". > У последнего, кстати, и пакетов раз 8 больше За первым, кстати, нет никакой PyPI Inc. Но опеннетные "спецы", сравнивающие опу с пальцем, не переводятся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+1 +/–
	Сообщение от Аноним (20), 24-Июн-21, 14:14
	При чем здесь npm? Это везде где есть пакетный менеджер.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

6. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+/–
Сообщение от Аноним (6), 24-Июн-21, 12:31
Из заголовка сперва подумал что это общая сводка и сразу такой "что-то маловато"
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносны..."	+1 +/–
Сообщение от Аноним (7), 24-Июн-21, 12:34
> maratlib Марат, поджигай!
Ответить \| Правка \| Наверх \| Cообщить модератору

19. "В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов"	+4 +/–
Сообщение от eRIC (ok), 24-Июн-21, 13:45
Marat Nedogimov беги
Ответить \| Правка \| Наверх \| Cообщить модератору