Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В RubyGems выявлено 724 вредоносных пакета"	+/–
Сообщение от opennews (??), 22-Апр-20, 10:26
Компания ReversingLabs опубликовала результаты анализа применения  тайпсквоттинга в репозитории RubyGems. Обычно тайпсквоттинг применяется для распространения вредоносных пакетов, рассчитанных на то, что невнимательный разработчик при поиске допустит опечатку или не заметит разницы. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52785
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 22-Апр-20, 10:26	+11 +/–
Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате вам опять!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #24, #31

2. Сообщение от Аноним (1), 22-Апр-20, 10:32	+/–
Как хорошо, что не использую софт на руби.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #9

3. Сообщение от Аноним (3), 22-Апр-20, 10:39	+6 +/–
Рад за коллегу, но > проблема не специфична для RubyGems и касается других популярных репозиториев
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8

4. Сообщение от КО (?), 22-Апр-20, 10:40	+/–
В зависимости подставить можно? Если нет - то тут уж у кого глаз острее
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 22-Апр-20, 10:40	+1 +/–
а сколько их в нпм...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10

6. Сообщение от Аноним (7), 22-Апр-20, 10:46	+/–
Если я правильно посмотрел, то в rubygems всего 10620 пакетов. 724 от этих 10620 это почти 7%.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

7. Сообщение от Аноним (7), 22-Апр-20, 10:48	+1 +/–
NPM всего-то в 100+ раз больше размером
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #26, #41, #54

8. Сообщение от Аноним (1), 22-Апр-20, 10:51	+4 +/–
1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов. 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #16, #23

9. Сообщение от Аноним (9), 22-Апр-20, 10:53	+7 +/–
Да на Node.js тебе ничего не угрожает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22

10. Сообщение от Аноним (9), 22-Апр-20, 10:54	+/–
Там даже целенаправленный зловредный код может быть опасен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от JL2001 (ok), 22-Апр-20, 11:26	+/–
репозитории, говорили они, мантейнеры, говорили они
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

12. Сообщение от JL2001 (ok), 22-Апр-20, 11:37	+/–
> 1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! оно примерно так и работает фактически > 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов. механизм отличия хороших от плохих в студию (плохих предлагаю скриптом сразу расстреливать) > 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP. оно так и работает чаще всего (https всякий)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #21

14. Сообщение от нах. (?), 22-Апр-20, 11:47	+8 +/–
ну, согласись, 700 штук с двух акаунтов - это все же достижение!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

16. Сообщение от Аноним (3), 22-Апр-20, 11:56	+/–
Хорошие разработчики тоже используют инструментарий. SDK к примеру и вообще чужой код, в том числе открытый. Но https://www.computerra.ru/261789/kak-prilozheniya-shpionyat-.../ И как нам, хорошим, быть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

17. Сообщение от разработчик (?), 22-Апр-20, 12:03	+6 +/–
Это вы нашли пока только 724 Думаешь, у меня было только два акаунта?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Аноним (18), 22-Апр-20, 12:16	–1 +/–
"невнимательный разработчик".. ох уж эта ваша политкорректность.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

19. Сообщение от robot228 (?), 22-Апр-20, 12:32	–1 +/–
Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики=)
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от user (??), 22-Апр-20, 12:51	+/–
RubyGerms
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (21), 22-Апр-20, 12:59	–1 +/–
1. Идентификация пакетов в репозитории строго по подписи OpenPGP ключа. 2. Строгая верификация публичных OpenPGP ключей пользователей: https://www.opennet.dev/openforum/vsluhforumID3/117882.html#4 Скрипт для отстрела левых пакетов в репозитории: Создаем список публичных ключей не прошедших проверку: gpg --check-trustdb Удаляем все пакеты с репозитория без подписи или подписанные ключами не прошедшими проверку. 3. Каждый пользователь репозитория должен у себя поддерживать, периодически проверять, публичные ключи разрабов пакетов и по них верифицировать скачанные с репозитория пакеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #25, #34

22. Сообщение от Аноним (21), 22-Апр-20, 13:01	+1 +/–
И JS тоже нигде не использую, даже dbus & polkitd не устанавливаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

23. Сообщение от funny.falcon (?), 22-Апр-20, 13:16	+3 +/–
Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты. Злоумышленники создали НОВЫЕ пакеты от СВОЕГО имени. Просто имена подобрали подходящие на существующие: если кто-то опечатается, или в поиске выберет не тот, то попадётся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

24. Сообщение от gogo (?), 22-Апр-20, 14:13	+11 +/–
Для публично открытых на запись "репозиториев" следовало бы придумать другое название, дабы не путать с нормальными репозиториями. Например говнозиторий. Или репоговнорий. Или говноговнорий. Всем бы было понятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

25. Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:16	+2 +/–
Да подпись тут -- инструмент, вопрос в доверии к ней (и подписавшему).  Это задачка на репутацию, а не на криптуху.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #45

26. Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:17	+1 +/–
Гусары, молчать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

28. Сообщение от Константавр (ok), 22-Апр-20, 15:08	+12 +/–
crapository - звучит :) продвигай идею в палату мер и весов, мы тебя поддержим :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #48

29. Сообщение от Константавр (ok), 22-Апр-20, 15:10	+/–
какие майнтейнеры? Там практически анонимная свалка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #57

30. Сообщение от Аноним (30), 22-Апр-20, 15:13	+/–
А как правильно? Негр?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от заминированный тапок (ok), 22-Апр-20, 16:08	–2 +/–
Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и думать что спрятался и в безопасности Но у проприетарщиков обычно и уровень развития 6-летнего
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #55

33. Сообщение от Аноним (33), 22-Апр-20, 19:04	+/–
Как так-то? Как так-то?!
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от microsoft (?), 22-Апр-20, 19:17	+/–
А говнокодомакаки как костылили с использованием левых модулей, так и будут дале
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #46

35. Сообщение от microsoft (?), 22-Апр-20, 19:20	+/–
Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами виноваты?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #39

37. Сообщение от Онаним (?), 22-Апр-20, 20:51	+/–
Как, одной командочкой скачивая пакетик "leftpad-makes-everything-good" вместе со всеми зависимостями, ещё надо что-то проверять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от YetAnotherOnanym (ok), 22-Апр-20, 21:09	+/–
> касается других популярных репозиториев > те же исследователи выявили > также периодически всплывают Хы... осталось дождаться, когда эти исследователи доберутся до hex.pm.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 22-Апр-20, 21:26	+/–
А как ты узнаешь, что тебе нужно, и как оно называется? Простые батарейки конечно просмотришь глазами (1 раз), но со сложными как быть? Если есть возможность, я смотрю на список других пакетов автора. И копирую, чтобы не ошибиться при вводе. Так ведь не проблема нагенерировать по автору на каждый пакет! И как ты отличишь это нормальный форк, или малварь? А если половина авторов просто китайские нонеймы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #40, #42

40. Сообщение от microsoft (?), 22-Апр-20, 21:48	+/–
Не использовать такое уг в проекте. Иииии проверять то что подключаеш а не верить васяну на чисто ну тут я те говору да мамо клянусь все путем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Lex (??), 23-Апр-20, 01:18	+1 +/–
Низабудим про лифтпад!!111
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

42. Сообщение от Lex (??), 23-Апр-20, 01:23	+/–
Количество и частота скачиваний, количество звёзд и issue( в т.ч исправленных )в репе проекта Очевидно же, что если есть пара почти одинаковых пакетов, но у одного 10 тыс скачиваний, а у другого - просто 10, то кто-то желает кого-то н*ть, надеясь, что пользователи не заметят разницы в названии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #44, #50

43. Сообщение от Аноним (43), 23-Апр-20, 01:49	+1 +/–
Помнити лифтпад!
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (39), 23-Апр-20, 02:20	+/–
Если бы это ещё работало. Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, но не протухло. А на гитхабе ещё и 100500 форков, пойди найди живой. Выбирай. При этом обычно там ещё и норм код оказывается, намного лучше, чем сейчас бы накостылял под задачу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

45. Сообщение от Аноним (45), 23-Апр-20, 06:19	+/–
gpg --check-trustdb Дает возможность верифицировать базу публичных ключей. Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а 5 подписей. Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже 3 подписей. Репутация здесь больше о корректности работы с ключиками. Если небрежно относится к хранению приватных ключей и подписывать левые публичные ключи, то создаются проблемы. Придется добавлять blacklist с плохими пользователями ключей и не учитывать их подписи при верификации. Если команда длительное время развивает проект и сама его использует, то вероятность внедрения закладок низкая. Когда забежал и сразу пару сот проектов в репу загнал, а публичный ключ его никто не подписал, то это наверняка зловреды и отсутствие подписей публичного ключа значительно притормозил их распространение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #58

46. Сообщение от Аноним (45), 23-Апр-20, 06:30	+/–
Хочется M$ монопольнои контролировать верификацию пакетов в GNU/Linux? Сколько будете со счета списывать за загрузку GNU/Linux? https://www.opennet.dev/openforum/vsluhforumID3/120270.html#190
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

47. Сообщение от Аноним (47), 23-Апр-20, 11:14	+/–
>В RubyGems выявлено 724 вредоносных пакета Зловещие мертвецы
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Nxx (ok), 23-Апр-20, 12:16	+/–
Тогда уж coprository.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

50. Сообщение от nebularia (ok), 23-Апр-20, 12:20	+/–
Лучший критерий - время загрузки первой версии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

52. Сообщение от Аноним (52), 23-Апр-20, 16:43	+/–
Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях пакетов, а вообще вполне ожидаемо от uncurated репозитория - в pypi и npm такие же проблемы. Поэтому их можно рассматривать только как помойки, а ставить пакеты только через родные репозитории системы, где на них хотя бы посмотрели мантейнеры.
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним84701 (ok), 23-Апр-20, 17:47	+1 +/–
> NPM всего-то в 100+ раз больше размером И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - основная часть бизнеса? Или опять сравнивается мягкое и фиолетовое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

55. Сообщение от MadeInRussiaPlus (?), 24-Апр-20, 10:41	+/–
При чем тут закрытый код? Речь про открытые репозитории, неважно, что в них лежит, проприетарной или открытое ПО. Это как сайт без HTTPS, открытый для MITM. Неважно, на чем он написан, ASP.NET или RoR, открыт его код или закрыт. Речь о том, что нужно ужесточать контроль за репозиториями. Например, все так же разрешать загружать любые пакеты, но делать процедуру получения флага "trusted", а пользователи без флага маркировать как требующие особой осторожности со стороны пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #56

56. Сообщение от заминированный тапок (ok), 24-Апр-20, 11:22	+/–
приношу извининения, тк я не думал, что существуют настолько открытые репозитории (точнее свалка) и не думал что существуют те, кто таким слепо пользуется не перестают удивлять феноменам современности просто дичь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

57. Сообщение от JL2001 (ok), 24-Апр-20, 13:04	+/–
> какие майнтейнеры? Там практически анонимная свалка. а кто, используя RubyGems, понимает это? большинство считают репозиторием а не свалкой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

58. Сообщение от JL2001 (ok), 24-Апр-20, 13:07	+/–
> gpg --check-trustdb > Дает возможность верифицировать базу публичных ключей. > Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а > 5 подписей. > Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже > 3 подписей. и что же им помешает набрать подписи???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема