不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
掲載日
2023/06/19 11:17
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
https://news.mynavi.jp/techplus/article/20230619-2707529/ 0048番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 366d-DQJH)2023/06/22(木) 20:53:26.27ID:dJX0aGCe0
審査とかないの?
0049番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 0d3a-j0+o)2023/06/22(木) 20:54:40.59ID:Ywk9Hobq0
逆にこういう所にどうやったらアップロードできるのかわからん
0050番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 694a-ccEn)2023/06/22(木) 20:55:16.38ID:Vi5sG6x00
AI使い、逝く
0051番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 0980-ubkL)2023/06/22(木) 20:55:18.90ID:oFMZ5T6E0
Docker環境ならええよな?
0052番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 6ea2-tQp+)2023/06/22(木) 20:56:08.91ID:mkQyW7Y+0
オープンソースなんだから自分で確認できるだろ??
有名パッケージの1字違いとかたくさんあるからな
パッケージ名は絶対手入力するなよ
0054番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 5157-TLYd)2023/06/22(木) 20:57:28.22ID:1zXeHJus0
どこの誰かも分からん奴のスクリプトを走らせる狂気
0055番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 6ea2-L1I+)2023/06/22(木) 20:58:07.64ID:KDkJoNjW0
パッケージリポジトリ側でウィルスチェックぐらいして欲しいわ
やべえって言われてから、最新のPythonではpipは使えなくなったぞ
pipxという仮想環境にいちいち入れられる。あるべき姿だったけど今まで適当だった 0059番組の途中ですがアフィサイトへの転載は禁止です (アウアウウー Sacd-utRG)2023/06/22(木) 21:08:45.94ID:M7knK3Dta
不正をチェックする会社は何やってんだよ
個人で調べる人も一人もいなかったのかよ
0061番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 859d-L1I+)2023/06/22(木) 21:12:49.54ID:aEAa8Xsm0
最近のOSS界隈はもう終わってんな
儲からんのにわざわざ善意でメンテする奴なんて絶滅してんだ
>>51
rootless dockerっていうルート権限で実行されていないコンテナがその意味では人気
podmanとか同じように使えるよ 0063番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 51d2-vZXb)2023/06/22(木) 21:13:25.37ID:YVUhzgKo0
nugetは?!
0066番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 317f-VPaU)2023/06/22(木) 21:22:02.97ID:+FhaJHFs0
よくわからんけど草
0067番組の途中ですがアフィサイトへの転載は禁止です (JPW 0H12-tIUt)2023/06/22(木) 21:22:37.01ID:tZeQ/EiOH
怖すぎ
>>7
使ってるライブラリのソース全部読んで確認してる奴ってどれくらいいるんだろうな
世界規模のセキュリティ問題起きてもおかしくない適当さなのによく耐えてるわ 0070番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ad8f-NqAB)2023/06/22(木) 21:27:32.19ID:/KVCZLJm0
pypiでホームページ調べてgithubにとんで
git cloneしてソースざっと見てからsetup.py
これでええだろ
ソースがみあたらないやつはパスで
0072番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 214b-p8ty)2023/06/22(木) 21:29:33.10ID:PmFL6vbw0
大学とか研究機関ぐらいしかインターネット使ってなかった頃でしか通用しない仕組みだと思うわ
作者のサイトからインストーラーをダウンロードとかなら怪しいからやめとくかとか、保存だけしとくかってできるけど
依存関係でわけわかんないだろこの仕組み。ずっと不思議だったんだけどやっぱ安全じゃないじゃん
0075番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 69a2-aNfm)2023/06/22(木) 21:41:13.80ID:Nn+nAq7t0
transitiveなものも含めた全依存先の一つでもそのリポジトリーの垢ハックされたらアウトとかいう地獄
0076番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ de9f-FhUT)2023/06/22(木) 21:41:18.15ID:mJGmW8q90
チェックはlinusおじさんくらい厳しくないとダメ
0078番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 36a2-0GLi)2023/06/22(木) 21:43:26.06ID:USLoE4iZ0
勝手にネットからパッケージ取ってくるってのは、それは個人レベルでは便利でいいのだが、
だがネットに繋げにいけない環境のことも考えてくれと本当思うわ
0080番組の途中ですがアフィサイトへの転載は禁止です (ブーイモ MMad-bt6Y)2023/06/22(木) 21:46:50.49ID:v8hqGuoIM
conda馬鹿にしてるやつこれどう思ってんの
Pythonist環境構築の話ししすぎなんだよ、さっさとコード書け
Pythonなんて便利ライブラリ沢山使える以外の存在意義がないゴミ言語なのに…
0082番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 65d2-WN8F)2023/06/22(木) 22:13:46.75ID:Yb4OGImT0
PythonにしろLinuxにしろ呪文を打ったあとに
PythonセンターとかLinuxセンターに繋がって勝手にインストールが始まるわけだろ?
そんな先のことまで誰も何も考えてないのだから
これやっぱり呪文と変わんねぇような気がすんだ
0084番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 69a2-aNfm)2023/06/22(木) 22:17:59.45ID:Nn+nAq7t0
グレーターフール理論の逆パターン感ある
ヤバそうだけど頭いいやつが何とかしてくれてるだろう→そんなやついませんでした残念〜
0085番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ a9af-1tDD)2023/06/22(木) 22:18:47.41ID:lC+DtCtI0
火事だけど誰か通報してるだあろで誰も通報してないやつと同じだな
いうてメジャーなのならへーきやろという雑な意識で適当にやっとけばよいと思う
>>1
多分こういうのは手が込んでると思うぞ
簡単なセキュリティチェックぐらいはしてるだろうから
難読化したり分かりにくく埋め込んでるんだろう
俺もchrome 拡張でキーロガーメール送信の拡張作って
審査で落とされないようにJS難読化しまくったからな😹 0088番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW b2bb-ekQU)2023/06/22(木) 22:57:19.42ID:xnPv/RZN0
こりゃ Python終わったな
Node.jsやってる俺大勝利
0089番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 5e8f-FwV7)2023/06/22(木) 23:10:43.27ID:QGrtgXRy0
>>83
redhat enterprise linuxは余計なことをしなければレッドハット社からしかダウンロードしないよ。
年間10万出せるかどうか >>88
JSは非同期処理の書き方が面倒すぎて広まらないと思う
callback地獄はなくなったけど、promiseだのawaitだのの書き方が面倒すぎ
ループ処理すら苦労するわ 0091番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW b10d-EBgY)2023/06/22(木) 23:17:30.87ID:4G+7+4gh0
いっぱいあったらオープンソースなんだし誰かが見てるだろヨシ!の連鎖が起きて誰もちゃんと見てないパターンも普通にありうるもんな
0092番組の途中ですがアフィサイトへの転載は禁止です (JPW 0H12-tIUt)2023/06/22(木) 23:19:17.72ID:tZeQ/EiOH
>>90
Pythonこそawait地獄なんだが
助けてくれ 0094番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 69a2-aNfm)2023/06/23(金) 00:59:45.85ID:BdHm8X4z0
awaitっていうほど辛い?
goみたいになって欲しいってことかな。正直一長一短だと思うけど
goはcontextとかいう後付け酷いしそもそもselectの対象がchanだけなのヤバい
>>90
今node(javascript)で非同期書くならasync await一択だけど
過去ソフトとかライブラリがcallbackだったりpromiseだったりバラバラなんだよな 0096番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW a9af-UCCk)2023/06/23(金) 10:42:19.32ID:f2zMkXvN0
Weekly downloads 1万
よしよしたくさんダウンロードされてるな
みんなで渡れば怖くない
パイソン始めたばっかりでピップってwindowsなら直接exe踏んでるような感じだけどなんかセーフティがあるんだろうなあと思いながらやってたけど普通にないのかよ
>>97
pip「私は開発者にソースを読むチャンスを与えた」 
