The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В каталоге PyPI выявлены вредоносные пакеты

24.10.2018 13:30

В каталоге Python-пакетов PyPI обнаружен вредоносный пакет "colourama", который маскировался под популярную библиотеку "colorama" и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносный пакет также включал код для загрузки и установки в систему скрипта на Visual Basic, активировавшийся в момент установки пакета на платформе Windows.

После установки в систему скрипт вызывался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга, при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователи, допускающие опечатки при поиске.

Вредоносный пакет находился в репозитории PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 тысячи пакетов в PyPI. В ходе анализа, помимо colourama было выявлено ещё 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.

  1. Главная ссылка к новости (https://medium.com/@bertusk/cr...)
  2. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  3. OpenNews: Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
  4. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  5. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pypi, python
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (48) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Иван Семеныч (?), 13:53, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +29 +/
    Никогда такого не было и вот опять.
     
     
  • 2.9, Oleg (??), 14:56, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Чего не сделают лишь бы не Snap.
     
     
  • 3.13, Аноним (13), 16:00, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    В snap это просто квинтэссенция описанной проблемы.

    От этого могут спасти только модерируемые репозитории. И спасают уже 20 лет. Только почему-то сейчас всем захотелось блобы с троянами ставить без костылей.

     
     
  • 4.14, Аноним (14), 16:08, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тем временем в соседней новости Федора глобально заразилась этой ересью...
     
     
  • 5.18, Аноним (13), 17:06, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Решения в федору проталкивает одна конкретная компания, руководствуясь только соображениями собственной выгоды.
     
  • 4.15, Бывший скептик (?), 16:59, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить. Даже права рут не нужны для установки.
     
     
  • 5.17, Аноним (13), 17:04, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Расскажите как вы будете обёртывать каждый питоновский пакет в отдельный снап.
     
     
  • 6.20, Oleg (??), 17:29, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    https://docs.snapcraft.io/creating-a-snap
     
     
  • 7.22, Аноним (13), 18:10, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Нет-нет, вы лично расскажите как вы будете опакечивать каждый пакет, как будут работать импорты, как будет работать pyqt/pygtk, всё вот это. Кидать отписку мне не надо, я и так априори предполагаю что вы ничего больше сказать не можете.
     
     
  • 8.25, Oleg (??), 19:17, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Snap расчёт на сервер Для гуйни обратитесь к Flatpak Про взаимодействие паке... текст свёрнут, показать
     
     
  • 9.27, Аноним (27), 19:25, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы точно русский понимаете ... текст свёрнут, показать
     
     
  • 10.30, Адекватный (?), 19:49, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По ссылке полное описание процесса, включая сборку програм на электроне и пакето... текст свёрнут, показать
     
  • 10.37, Аноним (37), 00:49, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    милениалы, сэрррр ... текст свёрнут, показать
     
  • 5.39, iPony (?), 06:42, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В снапе программа только майнить может, буфер обмена она не может перехватить и системе навредить.

    не обманывай

     
     
  • 6.44, пох (?), 12:21, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > не обманывай

    что, и майнить - тоже не?

     
  • 5.40, iPony (?), 06:55, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Snap. Даже права рут не нужны для установки.

    https://imgur.com/a/gPJhr4Y

     
  • 4.24, ttr (?), 19:16, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В этих ваших модерируемых репах еще бы нужный софт появлялся и обновлялся, и было бы совсем хорошо. А поскольку нанять и заставить работать мы никого не можем, то имеет то что имеем. Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность, то было бы примерно как на вантузе сейчас, т е почти безопасно.
     
     
  • 5.26, Аноним (13), 19:20, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > появлялся и обновлялся

    Не вижу с этим проблем.

    https://repology.org/repositories/statistics

     
  • 5.41, iPony (?), 07:01, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если бы снапы делал автор софта а не дядя-доброжелатель и мог бы подтвердить свою личность

    Так и есть. На ряду с "васянами с улиц" есть и проверенные разработчики. Они помечены зелёными галочками.

    Вот от проверенных людей
    https://snapcraft.io/powershell

    Вот пакет от левого, который и забил на обновления. Да и вообще страшно софт такой ставить от "проходимцев".
    https://snapcraft.io/electrum

     
     
  • 6.46, Аноним (13), 16:27, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Галочки эти можно разве что на рулонах распечатывать, ибо никакого доверия они не дают. Золотые рыбки забыли уже и продолбанные (даже не говорю про похищенные) ключи и пароли (в результате чего "проверенным разработчиком" становится кто угодно. А ещё лучше - банально проданные, как с расширениями хрома. И про бинарники от автора изначально заражённые кишашей на его машине вируснёй забыли (quip из самого громкого). Да и самих нечистых на руку авторов, добавляющих если не конкретные трояны, то очень нужную им телеметрию и аналитику. Да и к тому как они проверяют аккаунты есть большие вопросы.
     
  • 2.43, Попугай Кеша (?), 11:30, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как же так? А тут на опеннете читал, что npm плохой! Как же так может быть? Невероятно!
     

  • 1.2, Попугай Кеша (?), 13:54, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Как же так? А все про npm рассказывали, и тут на тебе!
     
     
  • 2.3, Вадик (??), 13:56, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так в питоняшке еще хуже с этим, т.к. давненько там такого небыло.  NPM полагаю сейчас стали чуть лучше анализировать.
     
  • 2.11, пох (?), 15:06, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ой, а они что, не одно и то же?
    8-O

     
  • 2.28, Аноним (-), 19:41, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Как же так? А все про npm рассказывали, и тут на тебе!

    Подожди, скоро еще какие-нибудь растаманы с своим каргокультом отметятся. Как виндозные хипстеры содержат репы - несложно догадаться. А юзерам например линухов ВНЕЗАПНО не надо левые репы для ЯПа. Это клещится с тем что в ОС и так есть пакетный менеджер, неконтролируемо мусоря в ФС хламом который не отслеживается и за который отвечают какие-то раздолбаи вместо команды майнтайнеров с четко декларированными политиками.

     

  • 1.4, Аноним (14), 13:59, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот вспомнити....
     
     
  • 2.8, Аноним84701 (ok), 14:47, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А вот вспомнити....

    Планшеты GNOME от Групона, когда Групон использовал давно известную (но так и не исправленную, возможно умышленно, производителями законов) ошибку -- торговая марка в соотв. репозитории  не защищается автоматически, а требует активных действий со стороны отделения юристов регистранта, при выявлении нарушения.
    Что дает возможность атакующим с качественным и/или количественным превосхоством в юристах и финансах, как минимум на некоторое время заДОСить цель (как максимум -- по факту "отжать" марку и поплевывать на все претензии владельца).

    https://www.opennet.ru/opennews/art.shtml?num=41040
    > компания Groupon начала продвижение программной платформы для создания планшетов ... под именем Gnome. При этом продукт Groupon является проприетарной разработкой и кроме имени никаким образом не пересекается с открытым проектом GNOME, который владеет правами на данную торговую марку.
    >

     

  • 1.5, Аноним (5), 14:11, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Быть такого не может!
     
  • 1.7, Alen (??), 14:42, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >установки в систему скрипта на Visual Basic, активировавшийся в момент >установки пакета на платформе Windows

    Да это же махровая дискриминация пользователей linux!

     
     
  • 2.21, Maxim (??), 17:47, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Появляются статьи о Windows only проблемах. Может скоро статьи о релизах Windows 10 будут?
     
     
  • 3.42, iPony (?), 10:53, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С чего бы это Windows only проблема?

    https://medium.com/@bertusk/detecting-cyber-attacks-in-the-python-package

     

  • 1.10, Аноним (10), 15:02, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А уж сколько в докер-образах наверное такого... Для тех, кто то volume смонтируют неглядя в домашнюю директорию, то вот /dev/shm:/dev/shm примапят (автоматом из Dockerfile'а)
     
  • 1.12, corvuscor (ok), 15:07, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну елы палы.
    Делаешь бардак - получаешь бардак.
    Простой поиск через pip показывает, как там дела обстоят.

    Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.

    Нет даже элементарных вещей вроде общепринятых норм именования пакетов.

     
     
  • 2.16, J.L. (?), 17:04, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет даже элементарных вещей вроде общепринятых норм именования пакетов.

    это ещё что за зверь такой и где есть?
    а, главное, чем оно помогает от того, что внутри пакета?

     
  • 2.19, Аноним (13), 17:10, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Приходится каждый раз сверять, ставишь ли ты пакет от разработчика, или от совершенно левого васяна, который его перепаковал, добавив свистелок, перделок и троянов.

    Если левый васян не сможет перепаковать пакет, значит никто не сможет подхватить разработку заброшенных авторами, но ещё полезных пакетов. Нужна просто модерация, обязательные подписи, прозрачность, аудит - всё то что давно успешно работает с системными пакетами.

     
     
  • 3.29, Аноним (-), 19:43, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > подписи, прозрачность, аудит - всё то что давно успешно работает с
    > системными пакетами.

    Так поэтому нормальные люди и пользуются системными пакетами. Уже много лет. Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный менеджер обнесли - там только виндостор какой-то. Вот они и собирают себе аэродромы, как у белых людей. Но как и положено - из бамбука.

     
     
  • 4.32, Аноним (13), 20:09, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну для перла, питона и руби я и пользуюсь системными пакетами и буду пользоваться.
    Но новоязы go и rust же с ними несовместимы напрочь.
     
     
  • 5.34, Аноним (-), 20:57, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но новоязы go и rust же с ними несовместимы напрочь.

    Откуда это следует? Дебианщики что-то такое даже пакетят вроде. Впрочем, лично я заранее рассматриваю любой ЯП с встроенный пакетником как VULN. Просто по итогам смотрения на то к чему это ведет и как это содержится.

     
  • 4.35, Аноним (35), 20:58, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зачем изобретать велосипед дважды? Это удел маздайных хипстеров, которых на нормальный пакетный
    > менеджер обнесли - там только виндостор какой-то. Вот они и собирают
    > себе аэродромы, как у белых людей. Но как и положено - из бамбука.

    Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы которая мейнтенится только скопом с еще кучей таких же или отсутствует вообще. Но самое главное -- чтобы аноним опеннета мог пафосно надувать щеки.

     
     
  • 5.48, Аноним (-), 23:14, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Затем, чтобы разработчик имел возможность тасовать 100500 версий мелкой либы

    А это вообще зачем? У разработчика сильно дофига времени на страдание какой-то левой фигней, никак не связанной с достижением результата, как такового?

     

  • 1.23, Аноним (23), 18:11, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нечего доверять чужому коду! Многие "программисты" даже не заглядывают в то, что используют и затем продают другим.
     
  • 1.31, Пейтонист (?), 19:52, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    djanga порадовала
     
  • 1.36, Аноним (36), 00:06, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    а я ведь предупреждал, что pypi - говно и что ставить надо исключительно из vcs.
     
     
  • 2.49, Anonym2 (?), 10:22, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Будьте добры, опубликуйте весь список Ваших предупреждений.
     
  • 2.50, Anonym2 (?), 10:22, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Будьте добры, опубликуйте весь список Ваших предупреждений.
     

  • 1.38, Аноним (38), 05:03, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оу, это же сколько звёзд дошло сойтись, чтобы оно сработало.
     
  • 1.45, Аноним (45), 12:41, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Python
    Windows
    цветных ANSI escape-последовательностей

    Остановите планету, я сойду.

     
     
  • 2.47, Аноним (36), 23:18, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё прекрасно работает.
    1 win 10 - из коробки.
    2 win xp,7,8,8.1 - либо ставишь ansicon, либо включаешь в coloramе поспроцессинг вывода. При этом колорама переисывает коды в вызовы винапи. Колорама обрабатывает коды лучше, чем ансикон, но на некоторых сочетаниях вылетает с исключением. Ещё можно запустить mintty, там тоже коды есть. Правда всё это по возможностям уступает линуксовым эмуляторам терминала.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру