Хотите дальше читать devby? 📝
Support us

В официальный репозиторий Python попал «вредоносный» код

Оставить комментарий
В официальный репозиторий Python попал «вредоносный» код

Отдельные пакеты кода в официальном репозитории Python на протяжении трёх месяцев содержалили модифицированные скрипты установки, сообщает Ars Technica.

Читать далее 

Пакеты с изменённым кодом были загружены в Python Package Index (PyPI). 

Злоумышленники присвоили фальшивым пакетам имена, похожие на используемые в стандартной библиотеке Python (к примеру, urllib вместо urlib). Они содержали тот же код, что и «настоящие» библиотеки, за исключением изменённых скриптов установки. Правда, «фальшивый» код был вполне безвредным.

«Многие разработчики могли загрузить модифицированные пакеты, не подозревая об этом. Есть основания полагать, что фальшивки распространялись с июня 2017-го по сентябрь 2017 года», — сообщают специалисты словацкого Центра национальной безопасности, обнаружившие проблему.

Именно словаки уведомили администраторов PyPI о несанкционированной активности, после чего все идентифицированные поддельные пакеты были немедленно удалены.

Словацкие специалисты по безопасности опубликовали набор команд, которые можно использовать для выполнения проверки. В случае обнаружения заражённых пакетов их стоит немедленно заменить на оригинальные.

После появления информации о проблемах в PyPI двое исследователей сообщили, что им удалось «скормить» PyPI с более чем 20 библиотек, входящими в стандартную библиотеку Python. Как и неизвестные злоумышленники, они изменили файлы установки и внедрили в них скрипт, который заставлял разработчиков ненадолго подключиться к серверу и «отмечаться» на нём. Только в течение двух дней пакеты загрузили почти 7 тысяч раз.

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.

Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Как оплачиваются самые популярные языки GitHub и какой прогноз
Как оплачиваются самые популярные языки GitHub и какой прогноз
Как оплачиваются самые популярные языки GitHub и какой прогноз
Не только Python: 3 алгоритма выбора первого языка программирования
Не только Python: 3 алгоритма выбора первого языка программирования
Bubble
Не только Python: 3 алгоритма выбора первого языка программирования
Rust стал самым быстрорастущим языком по числу разработчиков
Rust стал самым быстрорастущим языком по числу разработчиков
Rust стал самым быстрорастущим языком по числу разработчиков

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.