Популярные Python-библиотеки воруют ваши данные
HTML-код
- Опубликовано: 8 июн 2024
- В популярных для программирования среди Python-разработчиков библиотеках обнаружился вредоносный код, который ворует данные пользователей.
Таймкоды:
00:00 Вступление
00:54 Как код попал в библиотеки (например Colorama) и распространился
03:47 Что именно воровал этот код на компьютере разработчика
06:31 Что делать программистам?
НЕТ ВОЙНЕ!
Выразить благодарность
ko-fi.com/larchanka
boosty.to/larchanka
yoomoney.ru/to/410011886858328
BTC: 127J5x79L9bb7T4jiYJ2U7jHNDLXEx4kT3
USDT (TRC20): TWRQit8o1JJGWjAph3DZFysygUxSwqiq9Q
TON: UQBDiFGDTLpp1zWLefv0LnH9TbEeUIcPSoO5uDNwhzktKP33
Как я стал программистом
• КАК Я СТАЛ ПРОГРАММИСТОМ
Как я переехал в Европу
• Как я переехал в Европу
Стрим: Карьера программиста
• Карьера программиста: ...
VPN, который я использую
get.surfshark.net/SH1Wy
➡️ Сайт: i.mobila.name/xT
➡️ Instagram: i.mobila.name/yp
➡️ Twitter: i.mobila.name/Ua
➡️ Telegram: i.mobila.name/b7d
👉🏻 Больше влогов здесь:
#larchankavlog #larchanka
👉🏻 Ежедневные влоги:
#larchankadaily
👉🏻 Чем я снимаю:
➡️ iPhone 14 Pro
➡️ Еще одна камера: DJi Osmo Action
➡️ Еще одна камера: Sony DSC-WX500
Муызка:
Yessir - Bonkers Beat Club
1. мошенники всегда более изобретательны чем большинство
2. берут статистикой - например телефонные мошенники, если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря
3. видео перекликается с недавней новостью о зараженной либой в Линуксе - идея та же = разведи лоха
"если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря" Вы слишком уж оптимистичны. Вот если из 1000 звонков в сутки хотя бы один принесет $50 -- это уже более реальный расклад.
@@andrejaga3003 я посмотрю, здесь одни мошенники собрались. из 404 родом?
@@andrejaga3003 Лови мошенника-обзвонатора, жалуется на плохой доход.
жду не дождусь, когда появятся чекеры кода, основанные на нейросетях. чтобы можно было не только проверять его функционал, но ещё и на вредоносность. конечно же, жду бесплатные)
Что помешает использовать их злоумышленникам?
@@Diamant4150 чтобы улучшать свой код?)) им чеккер кода не даст)
Зря Вы используете кричащие, ложные заголовки: Python опасен, Библиотеки воруют,..
сколько времени прошло с того как злоизменения опубликовали ? Если за пару месяцев это обнаруживается, то достаточно устанавливать версии полугодовой давности, или нет?
Да чего уж там. Чего стоит история с CCleaner, часть Avfst, и тут такое.
спасибо блин
+1 ещё фобия
Не особо понял, если скачивал колораму просто командой в командной строке то нужно бояться? Можно ли там было написать например с ошибкой и из-за этого скачалось бы не то?
не ссы это проблема тех, кто пользовался python sdk если у тебя python и pip забей ваще
Перед тем как пихать в пк файлы из интернета скидывайте их в отдельный пк и 155 раз перепроверяйте на наличие вирусов и тд. Скачивайте туда файлы и проводите эксперименты там а не в раббочем компьютере. Есть большая вероятность скачать скрытый майнер, вирус копировальщик энгри бёрз, скриншот запись экрана, историю записи нажатия клавиатуры и мыши ..... Доступ к камере, диктофону .....
Бред, все как раз наоборот - рабочий комп это свалка, а вот финансовые и персональные дела как раз надо держать на отдельном чистом и неприкосновенном девайсе. Естественно, не в виртуалке на рабочем компе.
Если так размышлять, то нельзя даже есть смотря в телефон отвлечёшься , после поперхнёшься и вес гг тебе)
Было бы в тему рассказать также прошлонедельную эпичную историю с либой xz-utils с бекдором в sshd.
было, смотри)
уровень гениальности хакеров - прям моё почтение :)
и как же избавиться от этой заразы?
Миша огонь, побольше подобного контента
Для разработки надо отдельную виртуальную машину.
И никаких там криптокошельков и тд. Только работа
Какая неприятная пакость.
Питон отдельного человека на зарплату посадил, что чисто безопасностью заниматься. Но вот от такого вектора там пока вряд-ли что-то завезут. Походу пора собственный нексус воткнуть проксей, чтоб только с pypi тягал.
Боюсь даже предположить, что если взломщик скромный, то что происходит?
Я тут на тему CEO чота смотрел, ТУТ ЖЕ звонок!
Это было весело...
Не подскажете, что за тема используется в редактора, пусть не уместно, но все же?
Интересный выпуск, так как интересуюсь ИБ
Если кому интересно, какие действия предпринимать, а не просто испугаться страшную историю, у Mohammed Dief на medium есть статья, выглядит толковой
как страшно жить!? )
Лучше стараться писать на ассамблее , если конечно в вашем проце нет аппаратных дыр
На Генассаблее ООН?
@@andreasstager1642 на ген ассамблее вашего процессора
Хорошоая тема для ликбеза
А вот нехай юзать библиотеки если можно обойтись без них))
А то привыкли блин, чуть что сразу за библиотеку хватаются.
грустная новость.
Придется кибербез боать если хочешь питоном пользоваться😢
спасибо
log4j примерно так же позволял запускать любой код на groovy. Если мне не изменяет память. Причем это было встроенной фичой логгера.
насколько помню, там просто не предусмотрели такую уязвимость. Ну или по крайней мере, не нашли никаких доказательств злонамеренности))
❤❤❤🎉🎉🎉
Наверное бародатая тема, так как сегодня в каждом попурярном open source репозитории куча тестов, такая штука с пробелами даже на самом убогом репозитории врят ли пройдет так как prettier как минимум уберет все пробелы, на py не иазрабатываю, но ра js все именно так)))
С прокруткой, это конечно совсем на джуна
В нормальных командах. Да даже в небольших стартапах, вешают линтеры + большинство настраивает CI/CD так что если у тебя тот же isort не был перед коммитом использован, коммит не пройдёт.
А тут, явно строка больше 120
посмотрел тебя - удалил пайтон
После следующего видео придется выкинуть компуктер )
Должна быть придумана какая-то экономическая модель для оупенсоурса, которая бы позволила делать анализ известных библиотек и выпускать их версии, заверенные подписями команд экспертов.
Тогда оупенсоурс проет превратится в коммерческий.
@@mlr__roal_6867 Вы напрасно противопоставляете коммерцию и оупенсоурс. Даже rms этого не делал. Масса оупенсоурс проектов вполне коммерчески успешна и не является бесплатной работой для создателей. Kernel, PostgreSQL, MySQL, nginx , clickhouse, PostgreSQL, MySQL, множество всяких джаваскриптовых ui-библиотек. Схема может быть придумана. Это может быть схема, похожая на выдачу ssl-сертификатов. Ведь ssl - открытый стандарт, но, тем не менее, вокруг него развёрнут бизнес по выдаче удостоверенных ssl-сертификатов. Примерно так же могут выданы и сертификаты на opensource. Не дословно так. А в духе таких идей.
тогда эти же люди станут в ряды "экспертов"
Open source предполагает, что каждый пользователь и есть эксперт, потому что ты используешь эти инструменты на свой страх и риск
Что значит должна? Кто такую задачу ставил и кто будет её выполнять? Да, и контролировать.
Нужен анализатор подозрительного кода
Достаточно не уподобляться npm-макакам, которые на каждый чих добавляют библиотеку (типа калорамы), фиксировать версии пакетов и использовать pip, тогда более чем с 99% вероятностью проблем не будет.
Про горизонтальную прокрутку - вообще детский сад, если пользуешься линтерами, то такое не пройдет, если не пользуешься - иди повторно на курсы скиллбрейнса.
херовая новость.
кибербез похоже придется ботать если хочешь пользоваться питоном
Что это?
Капец))
Рано или поздно это должно было случится с такой тупой манерой когда всё качается с Интернета и одержимостью постоянно всё обновлять. Как всегда всех всё устраивает... Так что расхлёбывайте!
охуенно пулл реквест проверили
Миша как войти в ай ти с нуля?
Нечего там делать
зачем ты там нужен?
@@user-cx8kh4sb2iза ноутбуком )
@@johnsnow6041как это? Посмотри в интернете вакансий куча, нужны специалисты
Открываешь вакансии в разделе для начинающих без опыта, читаешь что надо уметь чтобы податься, изучаешь это и подаешься.
Если использовать pyinstaller, то на полученный exe будет ругаться антивирус
Ну и такое же гуано творится с npm пакетами
Потому что разработчики обленились. Что то свое писать не могут, проще скачать готовое типа безопасное потому что так нам сказали.
Вы сами сторонние библиотеки используете или всё сами пишете?
В смысле обленились?
В чем вообще связь с ленью? Тебе ставят задачу и сроки. Писать свою библиотеку не то чтобы лениво, сколько не вкладывается в требования бизнеса. Если бизнес посчитает оправданным и необходимым создание библиотеки - будешь писать свою библиотеку.
Конкуренты то не брезгуют в экономии времени на разработке велосипедов
Вы совершенно правы! Каждый разработчик должен создавать свой язык программирования, фреймворк и ОС!!!😂😂😂
Любая сторонняя библиотека - риск и высокая стоимость поддержки. Но нынешние недопрограммистишки, особенно вся эта веб-шпана с их javascript-ами и питонами с рубями не могут жить без.менеджеров пакетов и готовы тянуть любцю, даже самую примитивную чушь из библиотек вместо того, чтобы все, что возможно, писать с нуля. Убогие. За это в более скрьезных разделах IT- индустрии веботу за программистов и не считают.
А кто будет тебя кормить, пока ты будешь годами писать свои корявые велосипеды на каждый чих, а потом их поддерживать, когда тебя уволят?
Ты наверное старый бездетный кошатник без интересов за пределами профессии, и суровый бородатый разработчик на крестах в госконторе, написал собственную, никому не нужную ОС с собственным компилятором в молодости, непосредственное начальство видел последний раз год назад, и в виду имел этот ваш гейский vcpkg?
@@andreasstager1642 ага, давай, потягай сторонние библиотеки в любой серьезной организации (finance, automotive, aerospace, medical, industrial automation, ...) - без десятка бумажет, что головой отвечаешь за каждую строчку в чужом коде не обойдешься. Веб программистишки такие смешные...
@@andreasstager1642 еще раз, стоимость поддержки стороннего кода *почти всегда* выше чем стоимость "написать с нуля". Если ты этого не понимаешь, то тебе саме место в вебе, и не лезь в серьезную разработку.
@@andreasstager1642 коменты исчезают, независимо от содержания. Еще раз: писать с нуля в долгой перспективе намного дешевле, чем поддерживать сторонний код.
@@vitalyl1327Вообще-то я Rust дев, и много лет отработал в энтерпрайзе, это к слову.
Сколько народу в процентном соотношении работает в вышеперечисленных отраслях? Я бы тоже мечтал о ненапряжной работе за кучу бабла, где целыми днями сидишь пилишь какие-то библиотечки, обвешиваешь их тестами, бесконечно рефакторишь, и тебя при этом месяцами никто не трогает, а зарплата стабильно капает. Более того, за 25 лет в программизме я понял, что это самый мой любимый вид деятельности, писать нечто, что будет использоваться другими программистами, чтоб не было никаких контактов с конечными юзерами, никаких овертаймов и никаких ночных подъемов, из-за того, что где-то что-то покрешилось. Только где ж такую работу мечты найти? Всем подавай готовый продукт, да еще побыстрее, да чтоб максимально дешево, да еще чтоб по щелчку пальцев можно было найти тебе замену на рынке. А что там под капотом никого не интересует.
Со всей ответственностью могу заявить, что даже швейцарский банк может отдать разработку на аутсорс кому попало и на чем попало. Они конечно проводят аудиты софта раз в 2-3 года, но делают их такие же индусы, как и те, что пишут этот софт.
как ты попал в гей столицу? ты пассив или актив? домогаются ли тебя мужчины-работодатели?
По вопросу можно догадаться, что спрашивающий из России - именно люди из России почему-то озабочены сексуальной темой и лезут со своими вопросами ко всем подряд 😆
не позорься
Россиянен пытается пошутить про гейство 😂😂
@@uszakow для них это больная тема. 100%-ные "натуралы". 😂😂😂
@@uszakow Не ко всем подряд, а к Мише, который развелся и в гей столице живет сейчас с трансом