forum.opennet.ru - "В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код" (18)

"В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код"	+/–
Сообщение от opennews (?), 28-Апр-26, 23:28
Компания Elementary Data сообщила о компрометации рабочих процессов GitHub Actions, в результате которой атакующие смогли опубликовать в каталоге PyPI и в GitHub-репозитории выпуск пакета elementary-data 0.23.3, в который был внедрён вредоносный код для кражи конфиденциальной информации с систем пользователей. Вредоносный выпуск также был включён в состав официального Docker-образа проекта. В прошлом месяце пакет elementary-data был загружен из репозитория PyPI более 1.1 млн раз... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65313
Ответить \| Правка \| Cообщить модератору

Оглавление

Самое главное - люди не пострадали , Tron is Whistling (?), 23:28 , 28-Апр-26, (1)

Итишники не люди , Аноним (3), 00:31 , 29-Апр-26, (3)

Иишники не люди, должны страдать , Сладкая булочка (?), 00:38 , 29-Апр-26, (6)

Вас кхм Автоматизировали , Аноним (3), 04:47 , 29-Апр-26, (11)

Никогда такого не был0, и вот 0пять , Аноним (2), 23:41 , 28-Апр-26, (2) –1
Что это за такие GitHub Actions, много ли от них пользы Фигурируют в каждой вто, Аноним (4), 00:37 , 29-Апр-26, (4) +1

ну так, handler, буквально ручки, всмысле руки, в каждой новости какието алкаши , Аноним (10), 04:28 , 29-Апр-26, (10) +2
Это то, что следует рассмотреть, когда на гит с винраров перейдете , Аноним (3), 04:49 , 29-Апр-26, (12)

Классика , Сладкая булочка (?), 00:37 , 29-Апр-26, (5) +1
А есть возможность скачать заражённые выпуски спустя какое-то время после обнару, Аноним (7), 00:40 , 29-Апр-26, (7)
Запретить Python Оставить только уцчёным, пусть балуются , Аноним (8), 01:20 , 29-Апр-26, (8)

Допускать к питону только по наличию научной степени , Аноним (9), 01:30 , 29-Апр-26, (9)

Было бы неплохо Но и ограничить применение только в научных целях Никаких прик, Аноним (17), 06:24 , 29-Апр-26, (17) –1

Весело Как я понял, их гитхаб токен, который работал в пулл реквестах, имел дос, Аноним (13), 05:10 , 29-Апр-26, (13)

Никто и не мелочился , Аноним (3), 05:48 , 29-Апр-26, (14)

Если это у пользователей скачивает корпорация, то оно законно и называется теле, ИмяХ (ok), 05:56 , 29-Апр-26, (15)
Скрыто модератором, Аноним (16), 06:17 , 29-Апр-26, (16)
Потому что системных программистов на C,C заменили вайтишниет бракоделы на Pyt, Аноним (17), 06:39 , 29-Апр-26, (18)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Tron is Whistling (?), 28-Апр-26, 23:28 +/–

Самое главное - люди не пострадали.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 28-Апр-26, 23:41 –1 +/–

Никогда такого не был0, и вот 0пять!

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 29-Апр-26, 00:31 +/–

Итишники не люди?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

4. Сообщение от Аноним (4), 29-Апр-26, 00:37 +1 +/–

Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12

5. Сообщение от Сладкая булочка (?), 29-Апр-26, 00:37 +1 +/–

Классика...

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Сладкая булочка (?), 29-Апр-26, 00:38 +/–

Иишники не люди, должны страдать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

7. Сообщение от Аноним (7), 29-Апр-26, 00:40 +/–

>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45).
А есть возможность скачать заражённые выпуски спустя какое-то время после обнаружения?

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 29-Апр-26, 01:20 +/–

Запретить Python! Оставить только уцчёным, пусть балуются!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

9. Сообщение от Аноним (9), 29-Апр-26, 01:30 +/–

Допускать к питону только по наличию научной степени? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #17

10. Сообщение от Аноним (10), 29-Апр-26, 04:28 +2 +/–

ну так, handler, буквально ручки, всмысле руки, в каждой новости какието алкаши устраивают поножовщину руками, как думаете много от рук пользы, или лучше отрезать сразу всем?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

11. Сообщение от Аноним (3), 29-Апр-26, 04:47 +/–

Вас... кхм... Автоматизировали?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Аноним (3), 29-Апр-26, 04:49 +/–

Это то, что следует рассмотреть, когда на гит с винраров перейдете.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

13. Сообщение от Аноним (13), 29-Апр-26, 05:10 +/–

Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Аноним (3), 29-Апр-26, 05:48 +/–

> Могли бы не мелочиться и поставить полный доступ
Никто и не мелочился.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от ИмяХ (ok), 29-Апр-26, 05:56 +/–

>>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.
Если это у пользователей скачивает корпорация, то оно законно и называется "телеметрия", а если это скачивает левый чел, то это незаконно и называется "конфиденциальные данные"

Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 29-Апр-26, 06:17 Скрыто ботом-модератором +/–

Опять русские гадят! Ну сколько можно а!

Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 29-Апр-26, 06:24 –1 +/–

Было бы неплохо. Но и ограничить применение только в научных целях. Никаких прикладных программ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (17), 29-Апр-26, 06:39 +/–

Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Tron is Whistling (?), 28-Апр-26, 23:28	+/–
Самое главное - люди не пострадали.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 28-Апр-26, 23:41	–1 +/–
Никогда такого не был0, и вот 0пять!
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от Аноним (3), 29-Апр-26, 00:31	+/–
Итишники не люди?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #6

4. Сообщение от Аноним (4), 29-Апр-26, 00:37	+1 +/–
Что это за такие GitHub Actions, много ли от них пользы? Фигурируют в каждой второй новости про горе-пакеты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #12

5. Сообщение от Сладкая булочка (?), 29-Апр-26, 00:37	+1 +/–
Классика...
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Сладкая булочка (?), 29-Апр-26, 00:38	+/–
Иишники не люди, должны страдать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #11

7. Сообщение от Аноним (7), 29-Апр-26, 00:40	+/–
>Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). А есть возможность скачать заражённые выпуски спустя какое-то время после обнаружения?
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (8), 29-Апр-26, 01:20	+/–
Запретить Python! Оставить только уцчёным, пусть балуются!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9

9. Сообщение от Аноним (9), 29-Апр-26, 01:30	+/–
Допускать к питону только по наличию научной степени? :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #17

10. Сообщение от Аноним (10), 29-Апр-26, 04:28	+2 +/–
ну так, handler, буквально ручки, всмысле руки, в каждой новости какието алкаши устраивают поножовщину руками, как думаете много от рук пользы, или лучше отрезать сразу всем?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

11. Сообщение от Аноним (3), 29-Апр-26, 04:47	+/–
Вас... кхм... Автоматизировали?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

12. Сообщение от Аноним (3), 29-Апр-26, 04:49	+/–
Это то, что следует рассмотреть, когда на гит с винраров перейдете.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

13. Сообщение от Аноним (13), 29-Апр-26, 05:10	+/–
Весело. Как я понял, их гитхаб токен, который работал в пулл реквестах, имел доступ не только на чтение репа, но и на запись, и на создание релизов. Могли бы не мелочиться и поставить полный доступ.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14

14. Сообщение от Аноним (3), 29-Апр-26, 05:48	+/–
> Могли бы не мелочиться и поставить полный доступ Никто и не мелочился.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

15. Сообщение от ИмяХ (ok), 29-Апр-26, 05:56	+/–
>>история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker. Если это у пользователей скачивает корпорация, то оно законно и называется "телеметрия", а если это скачивает левый чел, то это незаконно и называется "конфиденциальные данные"
Ответить \| Правка \| Наверх \| Cообщить модератору

16. Сообщение от Аноним (16), 29-Апр-26, 06:17 Скрыто ботом-модератором	+/–
Опять русские гадят! Ну сколько можно а!
Ответить \| Правка \| Наверх \| Cообщить модератору

17. Сообщение от Аноним (17), 29-Апр-26, 06:24	–1 +/–
Было бы неплохо. Но и ограничить применение только в научных целях. Никаких прикладных программ.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (17), 29-Апр-26, 06:39	+/–
Потому что системных программистов на C,C++ заменили вайтишниет бракоделы на Python для которых стабильная система это нонсенс, вот у них бардак во всем.
Ответить \| Правка \| Наверх \| Cообщить модератору