Złośliwe moduły w oficjalnym repozytorium Pythona
Słowacki Narodowy Urząd Bezpieczeństwa poinformował o złośliwych pakietach w Python Package Index (PyPI). Hakerzy podszyli się pod popularne moduły używając zbliżonych do nich nazw. Skrypty znajdowały się w repozytorium przez ostatnie 3 miesiące i były pobierane tysiące razy.
- #
- #
- 43
- Odpowiedz
Komentarze (43)
najlepsze
@dodajkomentarz: hajs w literakach?
źródło: comment_itwnBWUoKnxg9FFtFfsRqciJ7DghtEuJ.jpg
Pobierz@dodajkomentarz: Przecież @bezczelnie: dobry obrazek dał a ty go od głąbów przezywasz? Napisałeś, że był haj w literakach, ale widać #gimbynieznajo https://www.kurnik.pl/literaki/
@Endrius: masz na to jakies dowody? Open source prze swa otwartosc pozwolil na skontrolowanie i wykrycie takiej sytuacji. Zamkniety kod nie daje ci takiej mozliwosci.
Ten artykuł jest dowodem. Jest tam opisana historia dwóch podobnych "ataków". Tylko, że w tych "atakach" trzeba jedynie uploadować kod a na serwery Piriform się włamano. To jednak jest większa podatność, zwłaszcza, że PyPl i podobne serwisy przerabiają masę kodu i nikt nie jest tego w stanie sprawdzić, poza automatycznym skanowaniem.
Taki Piriform ma znacznie większe szanse wykryć ingerencję we własny kod niż znudzony
Śmiechłem donośnie, plus.
tylko linux bo mam kontrole nad systemem
A pod Windowsem to skąd w twoim mniemaniu pobiera się pakiety Pythona? Macie jakieś własne, tajne repozytorium? Może uważasz, że pod windą się w Pythonie nie programuje? A może masz błędne skojarzenie, że jak gdzieś jest użyte słowo "repozytorium", to na pewno ma coś wspólnego z Linuksem? Naprawdę bardzo mnie ciekawi tok myślenia, który od p------k modułów w PyPI doprowadził cię do kontroli nad systemem.
EDIT: Tak właściwie