( ヽ´ん`)「Pythonのパッケージが足りない?適当にpipでインスコしまくればいいか」→ウィルスだらけだった [663344715]
■ このスレッドは過去ログ倉庫に格納されています
不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
掲載日
2023/06/19 11:17
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
https://news.mynavi.jp/techplus/article/20230619-2707529/ オイオイオイ
まぁもうリリースして手を離れたからいっか こんなスレ終わる頃にソース要求する無能は珍しいよ
頭おかしいか酔っ払ってる
998 番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 9e0d-quY0)[] 2023/06/22(木) 20:12:27.00 ID:onWJKD0T0
>>990
ソースある? 結構誰でも登録できるよな
だからこうなる気がしてたわ npmにしても昔からやべーなと思ってたけど問題になるまで随分かかったなあ
逆に驚きがある >>7
誰かが見てるやろ精神
なお誰も見てない模様
実際悪意のあるコード発見できるレベルで精査してるやつなんてそうそういなさそう
当然その間はやりたい放題 Pythonなんて怠け者の極地だから
中身なんて確認するはずない 今まで誰もチェックしてへんかったんか?
まぁド定番のライブラリ以外は使わんようにしてるからひっかかかってないけど >>9
追加機能みたいなもんだよ
デフォだと面倒なプログラムになるのを誰かが簡単に作れる機能を作って公開してる
その中にウイルスを混入させて公開してるやつがいるってこと まぁこれかわからんけどトロイ入っててクレカ盗まれた >>1
> 「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
作成者は今のところ一人だけか pytorch関連とか需要がありそうなのばっかだな
やべえなこれ AWSとかECRにプッシュしたらスキャンしてくれるけどこのリストにあるライブラリ使っててもスルーされてたんやろか? そもそもライブラリなんてメジャーどころだけで十分だろ… 誰もcpanの名前を出さない件
インストール成功率低すぎない?
何かに付けてコケるわ パッケージインストラーって何がどっからどこに入ってるのか意味不明だから好きじゃないわ
なんなのあの仕組み 意外とバージョン進んでるパッケージで草
別のパッケージの指定パッケージでインストールされたらすぐにはわからんな やっぱり誰もチェックしてなかったのか PlayStoreでさえマルウェアまみれなのに無償のものが信用なんかできるはずないと思ったわ >>35
依存関係が複雑怪奇すぎて面倒くさい
手動インストールとかやってたらバージョンが違うだのなんだので日が暮れるし >>34
perlなんてとっくの昔に忘却の彼方だわ condaとpipで入れたやつがごちゃごちゃになってしまった goもやばいんでないの?
あれghの野良パッケージ直参照してるように見えるけど、仕組みよく知らない ■ このスレッドは過去ログ倉庫に格納されています
