The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В каталоге PyPI выявлены вредоносные пакеты"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от opennews (?), 24-Окт-18, 13:53 
В каталоге Python-пакетов PyPI (https://pypi.python.org)
обнаружен (https://medium.com/@bertusk/cryptocurrency-clipboard-hi...) вредоносный пакет "colourama", который маскировался под популярную библиотеку "colorama (https://pypi.org/project/colorama/)" и включал копию её кода. В дополнение к штатной функциональности  colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносное дополнение также включало код для загрузки и установки в систему скрипта (https://hastebin.com/raw/idamexogib) на Visual Basic при установке пакета на платформе Windows.


Данный скрипт активировался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес  кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга (https://www.opennet.ru/opennews/art.shtml?num=44576), при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователя, допускающие опечатки при поиске.

Вредоносный пакет находился в репозитории  PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим (https://medium.com/@bertusk/detecting-cyber-attacks-in-...) с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен (https://pypistats.org/packages/colourama) 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 пакетов в PyPI. В ходе анализа, помимо colourama было выявлено ещё 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.

URL: https://medium.com/@bertusk/cryptocurrency-clipboard-hi...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49490

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "В каталоге PyPI выявлены вредоносные пакеты"  +29 +/
Сообщение от Иван Семеныч (?), 24-Окт-18, 13:53 
Никогда такого не было и вот опять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В каталоге PyPI выявлены вредоносные пакеты"  –3 +/
Сообщение от Попугай Кеша (?), 24-Окт-18, 13:54 
Как же так? А все про npm рассказывали, и тут на тебе!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Вадик (??), 24-Окт-18, 13:56 
Так в питоняшке еще хуже с этим, т.к. давненько там такого небыло.  NPM полагаю сейчас стали чуть лучше анализировать.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В каталоге PyPI выявлены вредоносные пакеты"  +1 +/
Сообщение от Аноним (14), 24-Окт-18, 13:59 
А вот вспомнити....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В каталоге PyPI выявлены вредоносные пакеты"  +2 +/
Сообщение от Аноним (5), 24-Окт-18, 14:11 
Быть такого не может!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В каталоге PyPI выявлены вредоносные пакеты"  +4 +/
Сообщение от Alen (??), 24-Окт-18, 14:42 
>установки в систему скрипта на Visual Basic, активировавшийся в момент >установки пакета на платформе Windows

Да это же махровая дискриминация пользователей linux!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В каталоге PyPI выявлены вредоносные пакеты"  +2 +/
Сообщение от Аноним84701 (ok), 24-Окт-18, 14:47 
> А вот вспомнити....

Планшеты GNOME от Групона, когда Групон использовал давно известную (но так и не исправленную, возможно умышленно, производителями законов) ошибку -- торговая марка в соотв. репозитории  не защищается автоматически, а требует активных действий со стороны отделения юристов регистранта, при выявлении нарушения.
Что дает возможность атакующим с качественным и/или количественным превосхоством в юристах и финансах, как минимум на некоторое время заДОСить цель (как максимум -- по факту "отжать" марку и поплевывать на все претензии владельца).

https://www.opennet.ru/opennews/art.shtml?num=41040
> компания Groupon начала продвижение программной платформы для создания планшетов ... под именем Gnome. При этом продукт Groupon является проприетарной разработкой и кроме имени никаким образом не пересекается с открытым проектом GNOME, который владеет правами на данную торговую марку.
>

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В каталоге PyPI выявлены вредоносные пакеты"  –10 +/
Сообщение от Oleg (??), 24-Окт-18, 14:56 
Чего не сделают лишь бы не Snap.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (10), 24-Окт-18, 15:02 
А уж сколько в докер-образах наверное такого... Для тех, кто то volume смонтируют неглядя в домашнюю директорию, то вот /dev/shm:/dev/shm примапят (автоматом из Dockerfile'а)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от пох (?), 24-Окт-18, 15:06 
ой, а они что, не одно и то же?
8-O

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от corvuscor (ok), 24-Окт-18, 15:07 
Ну елы палы.
Делаешь бардак - получаешь бардак.
Простой поиск через pip показывает, как там дела обстоят.

Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.

Нет даже элементарных вещей вроде общепринятых норм именования пакетов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В каталоге PyPI выявлены вредоносные пакеты"  +14 +/
Сообщение от Аноним (13), 24-Окт-18, 16:00 
В snap это просто квинтэссенция описанной проблемы.

От этого могут спасти только модерируемые репозитории. И спасают уже 20 лет. Только почему-то сейчас всем захотелось блобы с троянами ставить без костылей.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (14), 24-Окт-18, 16:08 
Тем временем в соседней новости Федора глобально заразилась этой ересью...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Бывший скептик (?), 24-Окт-18, 16:59 
В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить. Даже права рут не нужны для установки.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от J.L. (?), 24-Окт-18, 17:04 
> Нет даже элементарных вещей вроде общепринятых норм именования пакетов.

это ещё что за зверь такой и где есть?
а, главное, чем оно помогает от того, что внутри пакета?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "В каталоге PyPI выявлены вредоносные пакеты"  +3 +/
Сообщение от Аноним (13), 24-Окт-18, 17:04 
Расскажите как вы будете обёртывать каждый питоновский пакет в отдельный снап.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "В каталоге PyPI выявлены вредоносные пакеты"  +1 +/
Сообщение от Аноним (13), 24-Окт-18, 17:06 
Решения в федору проталкивает одна конкретная компания, руководствуясь только соображениями собственной выгоды.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "В каталоге PyPI выявлены вредоносные пакеты"  +1 +/
Сообщение от Аноним (13), 24-Окт-18, 17:10 
> Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.

Если левый васян не сможет перепаковать пакет, значит никто не сможет подхватить разработку заброшенных авторами, но ещё полезных пакетов. Нужна просто модерация, обязательные подписи, прозрачность, аудит - всё то что давно успешно работает с системными пакетами.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "В каталоге PyPI выявлены вредоносные пакеты"  –2 +/
Сообщение от Oleg (??), 24-Окт-18, 17:29 
https://docs.snapcraft.io/creating-a-snap
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Maxim (??), 24-Окт-18, 17:47 
Появляются статьи о Windows only проблемах. Может скоро статьи о релизах Windows 10 будут?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "В каталоге PyPI выявлены вредоносные пакеты"  +6 +/
Сообщение от Аноним (13), 24-Окт-18, 18:10 
Нет-нет, вы лично расскажите как вы будете опакечивать каждый пакет, как будут работать импорты, как будет работать pyqt/pygtk, всё вот это. Кидать отписку мне не надо, я и так априори предполагаю что вы ничего больше сказать не можете.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (23), 24-Окт-18, 18:11 
Нечего доверять чужому коду! Многие "программисты" даже не заглядывают в то, что используют и затем продают другим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от ttr (?), 24-Окт-18, 19:16 
В этих ваших модерируемых репах еще бы нужный софт появлялся и обновлялся, и было бы совсем хорошо. А поскольку нанять и заставить работать мы никого не можем, то имеет то что имеем. Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность, то было бы примерно как на вантузе сейчас, т е почти безопасно.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Oleg (??), 24-Окт-18, 19:17 
В Snap расчёт на сервер. Для гуйни обратитесь к Flatpak. Про взаимодействие пакетов можно почитать в документации к каждому пакетному менеджеру.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "В каталоге PyPI выявлены вредоносные пакеты"  +2 +/
Сообщение от Аноним (13), 24-Окт-18, 19:20 
> появлялся и обновлялся

Не вижу с этим проблем.

https://repology.org/repositories/statistics

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "В каталоге PyPI выявлены вредоносные пакеты"  +2 +/
Сообщение от Аноним (27), 24-Окт-18, 19:25 
> как вы будете опакечивать каждый пакет?
> В Snap расчёт на сервер

А вы точно русский понимаете?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "В каталоге PyPI выявлены вредоносные пакеты"  +2 +/
Сообщение от Аноним (-), 24-Окт-18, 19:41 
> Как же так? А все про npm рассказывали, и тут на тебе!

Подожди, скоро еще какие-нибудь растаманы с своим каргокультом отметятся. Как виндозные хипстеры содержат репы - несложно догадаться. А юзерам например линухов ВНЕЗАПНО не надо левые репы для ЯПа. Это клещится с тем что в ОС и так есть пакетный менеджер, неконтролируемо мусоря в ФС хламом который не отслеживается и за который отвечают какие-то раздолбаи вместо команды майнтайнеров с четко декларированными политиками.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

29. "В каталоге PyPI выявлены вредоносные пакеты"  +1 +/
Сообщение от Аноним (-), 24-Окт-18, 19:43 
> подписи, прозрачность, аудит - всё то что давно успешно работает с
> системными пакетами.

Так поэтому нормальные люди и пользуются системными пакетами. Уже много лет. Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный менеджер обнесли - там только виндостор какой-то. Вот они и собирают себе аэродромы, как у белых людей. Но как и положено - из бамбука.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Адекватный (?), 24-Окт-18, 19:49 
По ссылке полное описание процесса, включая сборку програм на электроне и пакетов для Windows. Зачем вам перепечатка от анона с опеннета? Может вы английский не знаете?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Пейтонист (?), 24-Окт-18, 19:52 
djanga порадовала
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Аноним (13), 24-Окт-18, 20:09 
Ну для перла, питона и руби я и пользуюсь системными пакетами и буду пользоваться.
Но новоязы go и rust же с ними несовместимы напрочь.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

34. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Аноним (-), 24-Окт-18, 20:57 
> Но новоязы go и rust же с ними несовместимы напрочь.

Откуда это следует? Дебианщики что-то такое даже пакетят вроде. Впрочем, лично я заранее рассматриваю любой ЯП с встроенный пакетником как VULN. Просто по итогам смотрения на то к чему это ведет и как это содержится.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Аноним (35), 24-Окт-18, 20:58 
> Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный
> менеджер обнесли - там только виндостор какой-то. Вот они и собирают
> себе аэродромы, как у белых людей. Но как и положено - из бамбука.

Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы которая мейнтенится только скопом с еще кучей таких же или отсутствует вообще. Но самое главное -- чтобы аноним опеннета мог пафосно надувать щеки.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

36. "В каталоге PyPI выявлены вредоносные пакеты"  –2 +/
Сообщение от Аноним (36), 25-Окт-18, 00:06 
а я ведь предупреждал, что pypi - говно и что ставить надо исключительно из vcs.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (37), 25-Окт-18, 00:49 
милениалы, сэрррр..!
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (38), 25-Окт-18, 05:03 
Оу, это же сколько звёзд дошло сойтись, чтобы оно сработало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от iPony (?), 25-Окт-18, 06:42 
> В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить.

не обманывай

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

40. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от iPony (?), 25-Окт-18, 06:55 
>Snap. Даже права рут не нужны для установки.

https://imgur.com/a/gPJhr4Y

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от iPony (?), 25-Окт-18, 07:01 
> Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность

Так и есть. На ряду с "васянами с улиц" есть и проверенные разработчики. Они помечены зелёными галочками.

Вот от проверенных людей
https://snapcraft.io/powershell

Вот пакет от левого, который и забил на обновления. Да и вообще страшно софт такой ставить от "проходимцев".
https://snapcraft.io/electrum

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от iPony (?), 25-Окт-18, 10:53 
С чего бы это Windows only проблема?

https://medium.com/@bertusk/detecting-cyber-attacks-in-...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

43. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Попугай Кеша (?), 25-Окт-18, 11:30 
Как же так? А тут на опеннете читал, что npm плохой! Как же так может быть? Невероятно!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

44. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от пох (?), 25-Окт-18, 12:21 
> не обманывай

что, и майнить - тоже не?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "В каталоге PyPI выявлены вредоносные пакеты"  –2 +/
Сообщение от Аноним (45), 25-Окт-18, 12:41 
Python
Windows
цветных ANSI escape-последовательностей

Остановите планету, я сойду.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (13), 25-Окт-18, 16:27 
Галочки эти можно разве что на рулонах распечатывать, ибо никакого доверия они не дают. Золотые рыбки забыли уже и продолбанные (даже не говорю про похищенные) ключи и пароли (в результате чего "проверенным разработчиком" становится кто угодно. А ещё лучше - банально проданные, как с расширениями хрома. И про бинарники от автора изначально заражённые кишашей на его машине вируснёй забыли (quip из самого громкого). Да и самих нечистых на руку авторов, добавляющих если не конкретные трояны, то очень нужную им телеметрию и аналитику. Да и к тому как они проверяют аккаунты есть большие вопросы.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "В каталоге PyPI выявлены вредоносные пакеты"  –1 +/
Сообщение от Аноним (36), 25-Окт-18, 23:18 
Всё прекрасно работает.
1 win 10 - из коробки.
2 win xp,7,8,8.1 - либо ставишь ansicon, либо включаешь в coloramе поспроцессинг вывода. При этом колорама переисывает коды в вызовы винапи. Колорама обрабатывает коды лучше, чем ансикон, но на некоторых сочетаниях вылетает с исключением. Ещё можно запустить mintty, там тоже коды есть. Правда всё это по возможностям уступает линуксовым эмуляторам терминала.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

48. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Аноним (-), 26-Окт-18, 23:14 
> Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы

А это вообще зачем? У разработчика сильно дофига времени на страдание какой-то левой фигней, никак не связанной с достижением результата, как такового?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Anonym2 (?), 27-Окт-18, 10:22 
Будьте добры, опубликуйте весь список Ваших предупреждений.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

50. "В каталоге PyPI выявлены вредоносные пакеты"  +/
Сообщение от Anonym2 (?), 27-Окт-18, 10:22 
Будьте добры, опубликуйте весь список Ваших предупреждений.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру