Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц"	+/–
Сообщение от opennews (??), 25-Мрт-26, 00:05
Разработчики Python-библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц и 3.5 млн за последние сутки, сообщили о компрометации проекта. Атакующие смогли перехватить учётные данные сопровождающего и опубликовать в PyPI  два вредоносных выпуска - 1.82.7 и 1.82.8, содержащих код для кражи ключей и паролей с систем пользователей. В настоящее время вредоносные версии  удалены из PyPI, а проект временно заморожен до окончания разбирательства... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65065
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Мрт-26, 00:05	+14 +/–
Самым слабым звеном оказался сканер безопасности
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #17

2. Сообщение от Сладкая булочка (?), 25-Мрт-26, 00:17	+3 +/–
Проблема в настройках СI. Почему вообще какой-то сканер может перехатывать учетку? У него поди еще и автообновление зависимостей было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14

4. Сообщение от Аноним (4), 25-Мрт-26, 00:35	+4 +/–
Как отличить сканер безопасности от вируса? За сканер платят добровольно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23

5. Сообщение от Аноним (5), 25-Мрт-26, 01:09	–1 +/–
Новый npm-leftpad теперь питон?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (6), 25-Мрт-26, 01:26	–1 +/–
Новый nlohmann-json теперь сиплюсплюс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #18

7. Сообщение от Грустный (?), 25-Мрт-26, 06:06	+2 +/–
Пострадали только те, кто пользуется LLM? Ну
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10

9. Сообщение от Sm0ke85 (ok), 25-Мрт-26, 07:08	+1 +/–
>Пострадали только те, кто пользуется LLM? Ну Поддержу двумя руками)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Sm0ke85 (ok), 25-Мрт-26, 07:08	+1 +/–
>Пострадали только те, кто пользуется LLM? Ну Поддержу двумя руками)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от Tron is Whistling (?), 25-Мрт-26, 07:25	+/–
Ну и отлично.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Tron is Whistling (?), 25-Мрт-26, 07:27	+3 +/–
Девляпсинг же. Классический подход, причём при полном незнании как основ, так и того, что делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #20

17. Сообщение от Аноним (17), 25-Мрт-26, 07:56	+1 +/–
Слабость в архитектуре проекта. И такое будет продолжаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (17), 25-Мрт-26, 08:00	+1 +/–
Мне неизвестны публичные репозитории C++, в которые кто угодно может писать что угодно. И еще, C++ - язык программирования, а не инфраструктура, которой является сабж (а также еще несколько модных проектов), а все системы программирования на С++ контролируются серьезными компаниями/сообществами. Поэтому писать вредоносные обновления некуда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

19. Сообщение от Аноним (19), 25-Мрт-26, 08:24	–5 +/–
в расте никогда такого не будет, там компилятор следит за безопасностью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

20. Сообщение от Аноним (20), 25-Мрт-26, 08:24	+/–
Девляпс. Теперь банановый^W ллмновый!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от СлепойПью (?), 25-Мрт-26, 08:36	+/–
Да также можно воткнуть какую-нибудь хрень в библиотечный крэйт. Можно бороться только жесточайшим модерированием обновлений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

22. Сообщение от Аноним (22), 25-Мрт-26, 08:41	+/–
Хм, как по мне эта та проблема, которая вообще должна решаться на уровне системы и языка программирования, используя так называемые возможности, разрешения, ключа доступа, токена, - да называйте это как хотите! Идея не новая, но практика показывает, что это необходимость, чтобы у кода чисто технически не было возможности например получить доступ в сеть или к файловой системе на прямую "из воздуха". Нужны языки, которые будут это гарантировать! Например, есть исследовательский проект какого-то чувака, называется Austral programming language, - где данная проблема решается с помощью линейных типов (мне импонирует философия лежащая в основе); есть какой-то проект от Майкрософт -  Koka. Но как мне кажется среди всего этого есть очень хороший шанс выстрелить у Hylo, во-первых пилит один из авторов LLVM и Swift, синтаксис основан на Swift, а значит в дальнейшем есть вероятность, что это как-то заюзают Apple, либо в самом Swift, либо напрямую; во-вторых, язык решает туже проблему что и Rust, но делает это по-другому, по сути избавляя программиста от такого понятия как ссылка; в-третьих, там также можно будет решить проблему о которой говорилось вначале! Итог: безопасность на уровне памяти как в Rust + безопасность на уровне возможностей самого кода; в общем тоже весьма интересный проект! В общем, через лет 15 начнут переписывать все с Rust на Hylo;)))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #26

23. Сообщение от Аноним (23), 25-Мрт-26, 09:21	+1 +/–
Сканер не самораспространяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

24. Сообщение от Аноним (5), 25-Мрт-26, 10:25	+/–
есть миллион способов решить проблему, вот только все решения такие себе, даже если каждую функцию сделать отдельным исполняемым файлом и данные гонять через сериализацию, то задолбаешься права назначать, а даже если назначишь, то работать будет медлено. это в целом не решаемо, даже если код изолировать на отдельных физических чипах со своей отдельной памятью, даже если вообще это будет не код, а устройство механическое, или биологический исполнитель ну представь что у тебя мануфактура, и 100 сотрудников, и ты к каждому приписываешь контролера, будет +100 контролеров, жуткий оверхед, вот только вместо 100 точек отказа у тебя уже 200, любого могут подкупить. за столько лет, ниодна компания не гарантировала 100% рабочего продутка, у любой уважаемой есть возврат и ремонт, чем код лучше/хуже тостеров и пылисосов, хоть обмажся сертификатами и точками контроля, от космических лучей и скачков напряжения не спасет, не конечно можно, каждому транзистору свинцовый саркофаг, но чет такое себе, современный девайс изготовленный по военным нормам будет с комнату размером и цена как у квартиры будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (17), 25-Мрт-26, 10:27	+/–
Согласен. Если при сборке/запуске/обновлении проекта самостоятельно скачиваются модули неизвестно откуда безо всякой проверки, безопасность под угрозой. Кроме Python, так поступают Rust, R и, возможно, ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

26. Сообщение от Аноним (17), 25-Мрт-26, 10:30	+/–
> на уровне системы и языка программирования Опять на уровне языка?! Не нужно добавлять в язык программирования библиотеки (кроме стандартных), фреймворки, модули и прочее, и нагружаться проверкой безопасности неизвестно откуда взятых кусков [скомпилированного, в том числе на C/C++] кода. Возьмите, что-ли, пример с C/C++, Фортрана, Паскаля, Бэйсика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

27. Сообщение от 12yoexpert (ok), 25-Мрт-26, 10:36	+/–
что-то я вообще не понял, в чём проблема pypi, npm, librs, docker hub - это ведь всё специальные места для обмена вредоносами
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема