The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.10.2018 13:30  В каталоге PyPI выявлены вредоносные пакеты

В каталоге Python-пакетов PyPI обнаружен вредоносный пакет "colourama", который маскировался под популярную библиотеку "colorama" и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносный пакет также включал код для загрузки и установки в систему скрипта на Visual Basic, активировавшийся в момент установки пакета на платформе Windows.

После установки в систему скрипт вызывался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга, при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователи, допускающие опечатки при поиске.

Вредоносный пакет находился в репозитории PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 тысячи пакетов в PyPI. В ходе анализа, помимо colourama было выявлено ещё 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.

  1. Главная ссылка к новости (https://medium.com/@bertusk/cr...)
  2. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  3. OpenNews: Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
  4. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  5. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pypi, python
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Иван Семеныч (?), 13:53, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +29 +/
    Никогда такого не было и вот опять.
     
     
  • 2.9, Oleg (??), 14:56, 24/10/2018 [^] [ответить]    [к модератору]
  • –10 +/
    Чего не сделают лишь бы не Snap.
     
     
  • 3.13, Аноним (13), 16:00, 24/10/2018 [^] [ответить]    [к модератору]
  • +14 +/
    В snap это просто квинтэссенция описанной проблемы.

    От этого могут спасти только модерируемые репозитории. И спасают уже 20 лет. Только почему-то сейчас всем захотелось блобы с троянами ставить без костылей.

     
     
  • 4.14, Аноним (14), 16:08, 24/10/2018 [^] [ответить]    [к модератору]
  • +/
    Тем временем в соседней новости Федора глобально заразилась этой ересью...
     
     
  • 5.18, Аноним (13), 17:06, 24/10/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Решения в федору проталкивает одна конкретная компания, руководствуясь только соображениями собственной выгоды.
     
  • 4.15, Бывший скептик (?), 16:59, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить. Даже права рут не нужны для установки.
     
     
  • 5.17, Аноним (13), 17:04, 24/10/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Расскажите как вы будете обёртывать каждый питоновский пакет в отдельный снап.
     
     
  • 6.20, Oleg (??), 17:29, 24/10/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    https://docs.snapcraft.io/creating-a-snap
     
     
  • 7.22, Аноним (13), 18:10, 24/10/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Нет-нет, вы лично расскажите как вы будете опакечивать каждый пакет, как будут работать импорты, как будет работать pyqt/pygtk, всё вот это. Кидать отписку мне не надо, я и так априори предполагаю что вы ничего больше сказать не можете.
     
     
  • 8.25, Oleg (??), 19:17, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В Snap расчёт на сервер. Для гуйни обратитесь к Flatpak. Про взаимодействие пакетов можно почитать в документации к каждому пакетному менеджеру.
     
     
  • 9.27, Аноним (27), 19:25, 24/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > как вы будете опакечивать каждый пакет?
    > В Snap расчёт на сервер

    А вы точно русский понимаете?

     
     
  • 10.30, Адекватный (?), 19:49, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    По ссылке полное описание процесса, включая сборку програм на электроне и пакетов для Windows. Зачем вам перепечатка от анона с опеннета? Может вы английский не знаете?
     
  • 10.37, Аноним (37), 00:49, 25/10/2018 [^] [ответить]    [к модератору]  
  • +/
    милениалы, сэрррр..!
     
  • 5.39, iPony (?), 06:42, 25/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить.

    не обманывай

     
     
  • 6.44, пох (?), 12:21, 25/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > не обманывай

    что, и майнить - тоже не?

     
  • 5.40, iPony (?), 06:55, 25/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >Snap. Даже права рут не нужны для установки.

    https://imgur.com/a/gPJhr4Y

     
  • 4.24, ttr (?), 19:16, 24/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    В этих ваших модерируемых репах еще бы нужный софт появлялся и обновлялся, и был... весь текст скрыт [показать]
     
     
  • 5.26, Аноним (13), 19:20, 24/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > появлялся и обновлялся

    Не вижу с этим проблем.

    https://repology.org/repositories/statistics

     
  • 5.41, iPony (?), 07:01, 25/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Так и есть На ряду с васянами с улиц есть и проверенные разработчики Они пом... весь текст скрыт [показать]
     
     
  • 6.46, Аноним (13), 16:27, 25/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Галочки эти можно разве что на рулонах распечатывать, ибо никакого доверия они н... весь текст скрыт [показать]
     
  • 2.43, Попугай Кеша (?), 11:30, 25/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Как же так? А тут на опеннете читал, что npm плохой! Как же так может быть? Невероятно!
     
  • 1.2, Попугай Кеша (?), 13:54, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Как же так? А все про npm рассказывали, и тут на тебе!
     
     
  • 2.3, Вадик (??), 13:56, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Так в питоняшке еще хуже с этим, т.к. давненько там такого небыло.  NPM полагаю сейчас стали чуть лучше анализировать.
     
  • 2.11, пох (?), 15:06, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    ой, а они что, не одно и то же?
    8-O

     
  • 2.28, Аноним (-), 19:41, 24/10/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Подожди, скоро еще какие-нибудь растаманы с своим каргокультом отметятся Как ви... весь текст скрыт [показать]
     
  • 1.4, Аноним (14), 13:59, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А вот вспомнити....
     
     
  • 2.8, Аноним84701 (ok), 14:47, 24/10/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Планшеты GNOME от Групона, когда Групон использовал давно известную но так и не... весь текст скрыт [показать]
     
  • 1.5, Аноним (5), 14:11, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Быть такого не может!
     
  • 1.7, Alen (??), 14:42, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    >установки в систему скрипта на Visual Basic, активировавшийся в момент >установки пакета на платформе Windows

    Да это же махровая дискриминация пользователей linux!

     
     
  • 2.21, Maxim (??), 17:47, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Появляются статьи о Windows only проблемах. Может скоро статьи о релизах Windows 10 будут?
     
     
  • 3.42, iPony (?), 10:53, 25/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    С чего бы это Windows only проблема?

    https://medium.com/@bertusk/detecting-cyber-attacks-in-the-python-package

     
  • 1.10, Аноним (10), 15:02, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А уж сколько в докер-образах наверное такого... Для тех, кто то volume смонтируют неглядя в домашнюю директорию, то вот /dev/shm:/dev/shm примапят (автоматом из Dockerfile'а)
     
  • 1.12, corvuscor (ok), 15:07, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ну елы палы.
    Делаешь бардак - получаешь бардак.
    Простой поиск через pip показывает, как там дела обстоят.

    Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.

    Нет даже элементарных вещей вроде общепринятых норм именования пакетов.

     
     
  • 2.16, J.L. (?), 17:04, 24/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > Нет даже элементарных вещей вроде общепринятых норм именования пакетов.

    это ещё что за зверь такой и где есть?
    а, главное, чем оно помогает от того, что внутри пакета?

     
  • 2.19, Аноним (13), 17:10, 24/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Если левый васян не сможет перепаковать пакет, значит никто не сможет подхватить... весь текст скрыт [показать]
     
     
  • 3.29, Аноним (-), 19:43, 24/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Так поэтому нормальные люди и пользуются системными пакетами Уже много лет Зач... весь текст скрыт [показать]
     
     
  • 4.32, Аноним (13), 20:09, 24/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну для перла, питона и руби я и пользуюсь системными пакетами и буду пользоваться.
    Но новоязы go и rust же с ними несовместимы напрочь.
     
     
  • 5.34, Аноним (-), 20:57, 24/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Откуда это следует Дебианщики что-то такое даже пакетят вроде Впрочем, лично я... весь текст скрыт [показать]
     
  • 4.35, Аноним (35), 20:58, 24/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы кот... весь текст скрыт [показать]
     
     
  • 5.48, Аноним (-), 23:14, 26/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А это вообще зачем У разработчика сильно дофига времени на страдание какой-то л... весь текст скрыт [показать]
     
  • 1.23, Аноним (23), 18:11, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Нечего доверять чужому коду! Многие "программисты" даже не заглядывают в то, что используют и затем продают другим.
     
  • 1.31, Пейтонист (?), 19:52, 24/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    djanga порадовала
     
  • 1.36, Аноним (36), 00:06, 25/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    а я ведь предупреждал, что pypi - говно и что ставить надо исключительно из vcs.
     
     
  • 2.49, Anonym2 (?), 10:22, 27/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Будьте добры, опубликуйте весь список Ваших предупреждений.
     
  • 2.50, Anonym2 (?), 10:22, 27/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Будьте добры, опубликуйте весь список Ваших предупреждений.
     
  • 1.38, Аноним (38), 05:03, 25/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Оу, это же сколько звёзд дошло сойтись, чтобы оно сработало.
     
  • 1.45, Аноним (45), 12:41, 25/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Python
    Windows
    цветных ANSI escape-последовательностей

    Остановите планету, я сойду.

     
     
  • 2.47, Аноним (36), 23:18, 25/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Всё прекрасно работает 1 win 10 - из коробки 2 win xp,7,8,8 1 - либо ставишь a... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor