( ヽ´ん`)「Pythonのパッケージが足りない？適当にpipでインスコしまくればいいか」→ウィルスだらけだった [663344715]

[0001 番組の途中ですがアフィサイトへの転載は禁止です (ｽｯﾌﾟ Sd12-tqdi) 2023/06/22(木) 20:35:40.24 ID:JYHPlNixd●]

不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
掲載日
2023/06/19 11:17

Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
https://news.mynavi.jp/techplus/article/20230619-2707529/

[0048 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 366d-DQJH) 2023/06/22(木) 20:53:26.27 ID:dJX0aGCe0]

審査とかないの？

[0049 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 0d3a-j0+o) 2023/06/22(木) 20:54:40.59 ID:Ywk9Hobq0]

逆にこういう所にどうやったらアップロードできるのかわからん

[0050 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 694a-ccEn) 2023/06/22(木) 20:55:16.38 ID:Vi5sG6x00]

AI使い、逝く

[0051 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0980-ubkL) 2023/06/22(木) 20:55:18.90 ID:oFMZ5T6E0]

Docker環境ならええよな？

[0052 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 6ea2-tQp+) 2023/06/22(木) 20:56:08.91 ID:mkQyW7Y+0]

オープンソースなんだから自分で確認できるだろ？？

[0053 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ ad8f-p8ty) 2023/06/22(木) 20:56:57.59 ID:dU60c7JF0]

有名パッケージの1字違いとかたくさんあるからな
パッケージ名は絶対手入力するなよ

[0054 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 5157-TLYd) 2023/06/22(木) 20:57:28.22 ID:1zXeHJus0]

どこの誰かも分からん奴のスクリプトを走らせる狂気

[0055 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 6ea2-L1I+) 2023/06/22(木) 20:58:07.64 ID:KDkJoNjW0]

>>21
トロイさんひひーーんで草

[0056 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ de9f-iPYn) 2023/06/22(木) 20:58:40.69 ID:f4Kb7pFw0]

パッケージリポジトリ側でウィルスチェックぐらいして欲しいわ

[0057 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 32da-ACpA) 2023/06/22(木) 20:59:29.90 ID:kRxvj0Uf0]

やべえって言われてから、最新のPythonではpipは使えなくなったぞ
pipxという仮想環境にいちいち入れられる。あるべき姿だったけど今まで適当だった

[0058 番組の途中ですがアフィサイトへの転載は禁止です (ﾃﾃﾝﾃﾝﾃﾝ MM96-Wkyl) 2023/06/22(木) 21:05:33.53 ID:e8hsuTkcM]

>>5
まえにあっただろcolorなんちゃら

[0059 番組の途中ですがアフィサイトへの転載は禁止です (ｱｳｱｳｳｰ Sacd-utRG) 2023/06/22(木) 21:08:45.94 ID:M7knK3Dta]

不正をチェックする会社は何やってんだよ
個人で調べる人も一人もいなかったのかよ

[0060 番組の途中ですがアフィサイトへの転載は禁止です (ｽｯﾌﾟﾌﾟ Sdb2-hOP/) 2023/06/22(木) 21:09:24.56 ID:vRLhB/cld]

ペーペーヤメます

[0061 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 859d-L1I+) 2023/06/22(木) 21:12:49.54 ID:aEAa8Xsm0]

最近のOSS界隈はもう終わってんな
儲からんのにわざわざ善意でメンテする奴なんて絶滅してんだ

[0062 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 32da-ACpA) 2023/06/22(木) 21:12:56.69 ID:kRxvj0Uf0]

>>51
rootless dockerっていうルート権限で実行されていないコンテナがその意味では人気
podmanとか同じように使えるよ

[0063 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 51d2-vZXb) 2023/06/22(木) 21:13:25.37 ID:YVUhzgKo0]

nugetは？！

[0064 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 5e18-bCOe) 2023/06/22(木) 21:15:41.83 ID:Ew0whDLp0]

パイパイ

[0065 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW de9f-HWas) 2023/06/22(木) 21:21:04.99 ID:cjr1UW6u0]

ぱいぱいういるす🤮

[0066 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 317f-VPaU) 2023/06/22(木) 21:22:02.97 ID:+FhaJHFs0]

よくわからんけど草

[0067 番組の途中ですがアフィサイトへの転載は禁止です (JPW 0H12-tIUt) 2023/06/22(木) 21:22:37.01 ID:tZeQ/EiOH]

怖すぎ

[0068 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW f5f1-Wfhv) 2023/06/22(木) 21:23:46.43 ID:o/J+RdEn0]

>>7
使ってるライブラリのソース全部読んで確認してる奴ってどれくらいいるんだろうな
世界規模のセキュリティ問題起きてもおかしくない適当さなのによく耐えてるわ

[0069 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ b100-C6j3) 2023/06/22(木) 21:24:35.11 ID:KFClH8wx0]

自分で判断できないなら有名なのだけ入れとけ

[0070 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW ad8f-NqAB) 2023/06/22(木) 21:27:32.19 ID:/KVCZLJm0]

pypiでホームページ調べてgithubにとんで
git cloneしてソースざっと見てからsetup.py
これでええだろ
ソースがみあたらないやつはパスで

[0071 番組の途中ですがアフィサイトへの転載は禁止です (JPW 0H12-tIUt) 2023/06/22(木) 21:27:45.62 ID:tZeQ/EiOH]

>>68
そんな人間存在しないだろｗ
発狂するわ

[0072 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 214b-p8ty) 2023/06/22(木) 21:29:33.10 ID:PmFL6vbw0]

大学とか研究機関ぐらいしかインターネット使ってなかった頃でしか通用しない仕組みだと思うわ
作者のサイトからインストーラーをダウンロードとかなら怪しいからやめとくかとか、保存だけしとくかってできるけど
依存関係でわけわかんないだろこの仕組み。ずっと不思議だったんだけどやっぱ安全じゃないじゃん

[0073 番組の途中ですがアフィサイトへの転載は禁止です (ｵｲｺﾗﾐﾈｵ MM1d-azzi) 2023/06/22(木) 21:33:43.62 ID:XDp6HpJxM]

有名どころは大丈夫だろ

[0074 番組の途中ですがアフィサイトへの転載は禁止です (ｽｯﾌﾟ Sd12-0AtT) 2023/06/22(木) 21:38:04.97 ID:tJ0/bkO7d]

検索して一番上に出てるとこ入れとけば間違いない

[0075 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 69a2-aNfm) 2023/06/22(木) 21:41:13.80 ID:Nn+nAq7t0]

transitiveなものも含めた全依存先の一つでもそのリポジトリーの垢ハックされたらアウトとかいう地獄

[0076 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ de9f-FhUT) 2023/06/22(木) 21:41:18.15 ID:mJGmW8q90]

チェックはlinusおじさんくらい厳しくないとダメ

[0077 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ c517-C6j3) 2023/06/22(木) 21:42:13.83 ID:Yj29uY770]

敗損

[0078 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 36a2-0GLi) 2023/06/22(木) 21:43:26.06 ID:USLoE4iZ0]

勝手にネットからパッケージ取ってくるってのは、それは個人レベルでは便利でいいのだが、
だがネットに繋げにいけない環境のことも考えてくれと本当思うわ

[0079 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ a9af-C6j3) 2023/06/22(木) 21:43:40.82 ID:YhtHhEWE0]

俺らが前から指摘してたことだな

[0080 番組の途中ですがアフィサイトへの転載は禁止です (ﾌﾞｰｲﾓ MMad-bt6Y) 2023/06/22(木) 21:46:50.49 ID:v8hqGuoIM]

conda馬鹿にしてるやつこれどう思ってんの
Pythonist環境構築の話ししすぎなんだよ、さっさとコード書け

[0081 番組の途中ですがアフィサイトへの転載は禁止です (JPW 0H12-tIUt) 2023/06/22(木) 21:49:13.22 ID:tZeQ/EiOH]

Pythonなんて便利ライブラリ沢山使える以外の存在意義がないゴミ言語なのに…

[0082 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 65d2-WN8F) 2023/06/22(木) 22:13:46.75 ID:Yb4OGImT0]

>>3
え？お前の負けだぞ？、

[0083 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ f54e-C6j3) 2023/06/22(木) 22:15:16.94 ID:yPlirAuM0]

PythonにしろLinuxにしろ呪文を打ったあとに
PythonセンターとかLinuxセンターに繋がって勝手にインストールが始まるわけだろ？
そんな先のことまで誰も何も考えてないのだから
これやっぱり呪文と変わんねぇような気がすんだ

[0084 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 69a2-aNfm) 2023/06/22(木) 22:17:59.45 ID:Nn+nAq7t0]

グレーターフール理論の逆パターン感ある
ヤバそうだけど頭いいやつが何とかしてくれてるだろう→そんなやついませんでした残念〜

[0085 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ a9af-1tDD) 2023/06/22(木) 22:18:47.41 ID:lC+DtCtI0]

火事だけど誰か通報してるだあろで誰も通報してないやつと同じだな

[0086 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ c5bf-C6j3) 2023/06/22(木) 22:27:15.35 ID:Y8ibdMSd0]

いうてメジャーなのならへーきやろという雑な意識で適当にやっとけばよいと思う

[0087 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW f655-YRjz) 2023/06/22(木) 22:35:09.04 ID:VkqgajHJ0]

>>1
多分こういうのは手が込んでると思うぞ

簡単なセキュリティチェックぐらいはしてるだろうから
難読化したり分かりにくく埋め込んでるんだろう

俺もchrome 拡張でキーロガーメール送信の拡張作って
審査で落とされないようにJS難読化しまくったからな😹

[0088 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b2bb-ekQU) 2023/06/22(木) 22:57:19.42 ID:xnPv/RZN0]

こりゃ　Python終わったな

Node.jsやってる俺大勝利

[0089 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 5e8f-FwV7) 2023/06/22(木) 23:10:43.27 ID:QGrtgXRy0]

>>83
redhat enterprise linuxは余計なことをしなければレッドハット社からしかダウンロードしないよ。
年間10万出せるかどうか

[0090 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 65a2-DaO/) 2023/06/22(木) 23:17:24.34 ID:OUxRFGWR0]

>>88
JSは非同期処理の書き方が面倒すぎて広まらないと思う
callback地獄はなくなったけど、promiseだのawaitだのの書き方が面倒すぎ
ループ処理すら苦労するわ

[0091 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b10d-EBgY) 2023/06/22(木) 23:17:30.87 ID:4G+7+4gh0]

いっぱいあったらオープンソースなんだし誰かが見てるだろヨシ！の連鎖が起きて誰もちゃんと見てないパターンも普通にありうるもんな

[0092 番組の途中ですがアフィサイトへの転載は禁止です (JPW 0H12-tIUt) 2023/06/22(木) 23:19:17.72 ID:tZeQ/EiOH]

>>90
非同期書きやすい言語ってなんなん？

[0093 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 51a2-u/GO) 2023/06/22(木) 23:27:21.79 ID:Sg1C2fsX0]

>>90
Pythonこそawait地獄なんだが
助けてくれ

[0094 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 69a2-aNfm) 2023/06/23(金) 00:59:45.85 ID:BdHm8X4z0]

awaitっていうほど辛い？
goみたいになって欲しいってことかな。正直一長一短だと思うけど
goはcontextとかいう後付け酷いしそもそもselectの対象がchanだけなのヤバい

[0095 番組の途中ですがアフィサイトへの転載は禁止です (ｱｳｱｳｸｰ MM39-12Sl) 2023/06/23(金) 05:58:02.80 ID:xP2hfCZmM]

>>90
今node(javascript)で非同期書くならasync await一択だけど
過去ソフトとかライブラリがcallbackだったりpromiseだったりバラバラなんだよな

[0096 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW a9af-UCCk) 2023/06/23(金) 10:42:19.32 ID:f2zMkXvN0]

Weekly downloads 1万
よしよしたくさんダウンロードされてるな
みんなで渡れば怖くない

[0097 番組の途中ですがアフィサイトへの転載は禁止です (ｱｳｸﾞﾛ MM06-tEdH) 2023/06/23(金) 10:48:05.63 ID:brqDM+jZM]

パイソン始めたばっかりでピップってwindowsなら直接exe踏んでるような感じだけどなんかセーフティがあるんだろうなあと思いながらやってたけど普通にないのかよ

[0098 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ c5bf-C6j3) 2023/06/23(金) 10:49:59.29 ID:bTIr0N1L0]

>>97
pip「私は開発者にソースを読むチャンスを与えた」