W oficjalnym repozytorium Pythona znaleziono pakiety kradnące dane i hasła

Oficjalne repozytorium języka Python (PyPI) ponownie stało się celem cyberprzestępców. Zidentyfikowano dwa szkodliwe pakiety o nazwach zebo i cometlogger, które zostały zaprojektowane do kradzieży danych i przejmowania kontroli nad zainfekowanymi urządzeniami.

jestemjakijestem1212 z dodany: 2 godz. i 42 min temu

22
Odpowiedz

Komentarze (22)

najlepsze

Benzen

1 godz. i 14 min temu via Wykop

Oficjalne repozytorium Pythona to https://github.com/python/cpython. PyPI to jest repozytorium pakietów.
Pytanie czy autor się nie zna czy celowo wprowadza w błąd żeby zrobić większą sensację.

nbhd

1 godz. i 10 min temu via Wykop

celowo wprowadza w błąd żeby zrobić większą sensację.

@Benzen: bordo by tego nie zrobił

winda_orbitalna

5 min temu via Wykop

@Benzen: Debil. Mógł napisać, że Github rozpowszechnia pakiety kradnące dane.

Saly

1 godz. i 20 min temu via Wykop

W oficialnym repozytorium Pythona tj. PyPY, gdzie są wszystkie pakiety

Zakop za robienie sensacji tam gdzie jej nie ma

mikrodomel

1 godz. i 11 min temu via Wykop

@sylwke3100: faktem jest to że PyPI nie jest oficjalnym repozytorium języka Python.

sylwke3100

1 godz. i 5 min temu via Wykop

@sylwke3100: faktem jest to że PyPI nie jest oficjalnym repozytorium języka Python.

@mikrodomel: Ale jest oficjalnym repozytorim PAKIETÓW języka Python. Dodatkowo sygnowanym przez fundację zajmującą się tym językiem a nie przez jakiś poboczny projekt.

5da4266d3de6dbaf425a2d4fc16225d0

1 godz. i 11 min temu via Wykop

Zakop. "Oficjalność" nie ma tu nic do rzeczy. Każdy moze tam sobie opublikować swoja biblioteke jeśli ma taki kaprys. Jeśli ściągasz i odpalasz oprogramowanie z internetu do którego nie masz zaufania (a tym właśnie jest instalowanie losowej biblioteki z pypi) to sam jesteś sobie winien. Jakby to jeszcze było jakieś typo-squatting, ale nie.

cykus

53 min temu via Wykop

@5da4266d3de6dbaf425a2d4fc16225d0: dokładnie, można by mówić o aferze gdyby to były jakieś biblioteki z +100k pobrań, ale nie gdy libka miała 100+ pobrań i została usunięta zakładam po zgłoszeniach.

tellet

20 min temu via Wykop

biblioteki

@5da4266d3de6dbaf425a2d4fc16225d0: to aplikacje, czy "Instalując ten pakiet, potrzeba dociągnąć 200 zależności"

nbhd

1 godz. i 11 min temu via Wykop

voot

49 min temu via Wykop

Informacja nieprawdziwa, lukę znaleziono w jakiejś bibliotece, która znajduje się w repozytorium pakietów Pythona, a nie w repozytorium Pythona

BrakWolnegoLoginu

28 min temu via Wykop

Jakie oficjalne XD Co wy wykopujecie, a potem na tagu płaczecie że was AI (Another Indian) zastępuje ( ͡° ͜ʖ ͡°)

PANdeltoid

1 godz. i 31 min temu via Wykop

tego to się nie spodziewałem

autotldr

2 godz. i 42 min temu via Wykop

To najlepszy tl;dr, jaki mogłem zrobić, oryginał zmniejszony o 64% (jestem botem)

Szkodliwe pakiety w PyPI

Repozytorium PyPI stało się celem cyberprzestępców, gdy zidentyfikowano dwa szkodliwe pakiety: zebo i cometlogger, zaprojektowane do kradzieży danych oraz przejmowania kontroli nad zainfekowanymi urządzeniami. Eksperci z FortiGuard Labs informują, że oba pakiety zostały pobrane odpowiednio 118 i 164 razy, głównie w USA, Chinach, Rosji i Indiach. Zebo działał jako oprogramowanie szpiegujące, wykorzystując techniki zaciemniania kodu oraz zbierając naciśnięcia