Support us

Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

Оставить комментарий
Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

Из каталога Python-пакетов PyPI удалены две вредоносные библиотеки, которые крали ключи SSH и GPG из проектов разработчиков, пишет Bleeping Computer.

Оба пакета были загружены одним автором под ником olgired2017. Для обмана он использовал технику тайпсквоттинга, то есть называл зловреды максимально близко к подлинным библиотекам, заменяя несколько похожих символов. Пакеты jeIlyfish (здесь первая «l» на самом деле прописная «i») и python3-dateutil были замаскированы под популярные легитимные jellyfish и dateutil.

Первый оставался незамеченным почти год — он был загружен 11 декабря 2018-го. Второй, опубликованный 29 ноября, вычислили за несколько дней.

jellyfish содержал вредоносный код, который загружал из внешнего GitLab-репозитория файл hashsum для кражи ключей и директорий, а также отправлял их на хакерский сервер. python3-dateutil только импортировал этот пакет.

Клоны 1 декабря обнаружил немецкий разработчик Лукас Мартини, о чём уведомил команду безопасности Python. Спустя несколько часов они были удалены.


Свежая подборка вакансий для python-разработчиков.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
2 комментария
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
На хакерской конференции показали обновлённый кабель для взлома любых устройств
На хакерской конференции показали обновлённый кабель для взлома любых устройств
На хакерской конференции показали обновлённый кабель для взлома любых устройств

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.