( ヽ´ん`)「Pythonのパッケージが足りない?適当にpipでインスコしまくればいいか」→ウィルスだらけだった [663344715]
■ このスレッドは過去ログ倉庫に格納されています
不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
掲載日
2023/06/19 11:17
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
https://news.mynavi.jp/techplus/article/20230619-2707529/ オイオイオイ
まぁもうリリースして手を離れたからいっか こんなスレ終わる頃にソース要求する無能は珍しいよ
頭おかしいか酔っ払ってる
998 番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 9e0d-quY0)[] 2023/06/22(木) 20:12:27.00 ID:onWJKD0T0
>>990
ソースある? 結構誰でも登録できるよな
だからこうなる気がしてたわ npmにしても昔からやべーなと思ってたけど問題になるまで随分かかったなあ
逆に驚きがある >>7
誰かが見てるやろ精神
なお誰も見てない模様
実際悪意のあるコード発見できるレベルで精査してるやつなんてそうそういなさそう
当然その間はやりたい放題 Pythonなんて怠け者の極地だから
中身なんて確認するはずない 今まで誰もチェックしてへんかったんか?
まぁド定番のライブラリ以外は使わんようにしてるからひっかかかってないけど >>9
追加機能みたいなもんだよ
デフォだと面倒なプログラムになるのを誰かが簡単に作れる機能を作って公開してる
その中にウイルスを混入させて公開してるやつがいるってこと まぁこれかわからんけどトロイ入っててクレカ盗まれた >>1
> 「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
作成者は今のところ一人だけか pytorch関連とか需要がありそうなのばっかだな
やべえなこれ AWSとかECRにプッシュしたらスキャンしてくれるけどこのリストにあるライブラリ使っててもスルーされてたんやろか? そもそもライブラリなんてメジャーどころだけで十分だろ… 誰もcpanの名前を出さない件
インストール成功率低すぎない?
何かに付けてコケるわ パッケージインストラーって何がどっからどこに入ってるのか意味不明だから好きじゃないわ
なんなのあの仕組み 意外とバージョン進んでるパッケージで草
別のパッケージの指定パッケージでインストールされたらすぐにはわからんな やっぱり誰もチェックしてなかったのか PlayStoreでさえマルウェアまみれなのに無償のものが信用なんかできるはずないと思ったわ >>35
依存関係が複雑怪奇すぎて面倒くさい
手動インストールとかやってたらバージョンが違うだのなんだので日が暮れるし >>34
perlなんてとっくの昔に忘却の彼方だわ condaとpipで入れたやつがごちゃごちゃになってしまった goもやばいんでないの?
あれghの野良パッケージ直参照してるように見えるけど、仕組みよく知らない 逆にこういう所にどうやったらアップロードできるのかわからん 有名パッケージの1字違いとかたくさんあるからな
パッケージ名は絶対手入力するなよ パッケージリポジトリ側でウィルスチェックぐらいして欲しいわ
やべえって言われてから、最新のPythonではpipは使えなくなったぞ
pipxという仮想環境にいちいち入れられる。あるべき姿だったけど今まで適当だった 不正をチェックする会社は何やってんだよ
個人で調べる人も一人もいなかったのかよ 最近のOSS界隈はもう終わってんな
儲からんのにわざわざ善意でメンテする奴なんて絶滅してんだ
>>51
rootless dockerっていうルート権限で実行されていないコンテナがその意味では人気
podmanとか同じように使えるよ >>7
使ってるライブラリのソース全部読んで確認してる奴ってどれくらいいるんだろうな
世界規模のセキュリティ問題起きてもおかしくない適当さなのによく耐えてるわ pypiでホームページ調べてgithubにとんで
git cloneしてソースざっと見てからsetup.py
これでええだろ
ソースがみあたらないやつはパスで 大学とか研究機関ぐらいしかインターネット使ってなかった頃でしか通用しない仕組みだと思うわ
作者のサイトからインストーラーをダウンロードとかなら怪しいからやめとくかとか、保存だけしとくかってできるけど
依存関係でわけわかんないだろこの仕組み。ずっと不思議だったんだけどやっぱ安全じゃないじゃん transitiveなものも含めた全依存先の一つでもそのリポジトリーの垢ハックされたらアウトとかいう地獄 チェックはlinusおじさんくらい厳しくないとダメ 勝手にネットからパッケージ取ってくるってのは、それは個人レベルでは便利でいいのだが、
だがネットに繋げにいけない環境のことも考えてくれと本当思うわ conda馬鹿にしてるやつこれどう思ってんの
Pythonist環境構築の話ししすぎなんだよ、さっさとコード書け Pythonなんて便利ライブラリ沢山使える以外の存在意義がないゴミ言語なのに… PythonにしろLinuxにしろ呪文を打ったあとに
PythonセンターとかLinuxセンターに繋がって勝手にインストールが始まるわけだろ?
そんな先のことまで誰も何も考えてないのだから
これやっぱり呪文と変わんねぇような気がすんだ グレーターフール理論の逆パターン感ある
ヤバそうだけど頭いいやつが何とかしてくれてるだろう→そんなやついませんでした残念〜 火事だけど誰か通報してるだあろで誰も通報してないやつと同じだな いうてメジャーなのならへーきやろという雑な意識で適当にやっとけばよいと思う >>1
多分こういうのは手が込んでると思うぞ
簡単なセキュリティチェックぐらいはしてるだろうから
難読化したり分かりにくく埋め込んでるんだろう
俺もchrome 拡張でキーロガーメール送信の拡張作って
審査で落とされないようにJS難読化しまくったからな😹 こりゃ Python終わったな
Node.jsやってる俺大勝利 >>83
redhat enterprise linuxは余計なことをしなければレッドハット社からしかダウンロードしないよ。
年間10万出せるかどうか >>88
JSは非同期処理の書き方が面倒すぎて広まらないと思う
callback地獄はなくなったけど、promiseだのawaitだのの書き方が面倒すぎ
ループ処理すら苦労するわ いっぱいあったらオープンソースなんだし誰かが見てるだろヨシ!の連鎖が起きて誰もちゃんと見てないパターンも普通にありうるもんな >>90
Pythonこそawait地獄なんだが
助けてくれ awaitっていうほど辛い?
goみたいになって欲しいってことかな。正直一長一短だと思うけど
goはcontextとかいう後付け酷いしそもそもselectの対象がchanだけなのヤバい >>90
今node(javascript)で非同期書くならasync await一択だけど
過去ソフトとかライブラリがcallbackだったりpromiseだったりバラバラなんだよな Weekly downloads 1万
よしよしたくさんダウンロードされてるな
みんなで渡れば怖くない パイソン始めたばっかりでピップってwindowsなら直接exe踏んでるような感じだけどなんかセーフティがあるんだろうなあと思いながらやってたけど普通にないのかよ >>97
pip「私は開発者にソースを読むチャンスを与えた」 ■ このスレッドは過去ログ倉庫に格納されています