Bösartige Python-Pakete entdeckt

Alles, was nicht direkt mit Python-Problemen zu tun hat. Dies ist auch der perfekte Platz für Jobangebote.
Antworten
Benutzeravatar
snafu
User
Beiträge: 6731
Registriert: Donnerstag 21. Februar 2008, 17:31
Wohnort: Gelsenkirchen

Im Python-Paketrepository PyPi wurden verschiedene Pakete entdeckt, deren Namen existierenden Paketen ähneln und die eine Verbindung zu einem chinesischen Server aufbauen. Auf das grundlegende Problem wurde schon 2016 hingewiesen, doch die PyPi-Maintainer reagierten nicht auf Warnungen.
https://www.golem.de/news/pypi-boesarti ... 30098.html
Benutzeravatar
noisefloor
User
Beiträge: 3843
Registriert: Mittwoch 17. Oktober 2007, 21:40
Wohnort: WW
Kontaktdaten:

Hallo,

das gleiche Problem gab's vor kurzer Zeit auch bei node.js bzw. Paketen, die man via npm installieren konnte. Wobei es bei node.js (auch) nicht zu Schäden bei Nutzern kam, AFAIK.

Aber es zeigt sich wieder: je populärer die Plattform, desto "beliebter" werden diese für Angriffe / Schadsoftware.

Gruß, noisefloor
DasIch
User
Beiträge: 2718
Registriert: Montag 19. Mai 2008, 04:21
Wohnort: Berlin

Ich meine mich daran erinnern zu können dass das Problem schon vor Jahren mal in einem Vortrag bei einer PyCon angesprochen wurde. Grundsätzlich ist dieses Problem einfach nicht zu lösen, zumindest nicht mit akzeptablen Aufwand.
anonym44

snafu hat geschrieben: Sonntag 17. September 2017, 12:30
Im Python-Paketrepository PyPi wurden verschiedene Pakete entdeckt, deren Namen existierenden Paketen ähneln und die eine Verbindung zu einem chinesischen Server aufbauen. Auf das grundlegende Problem wurde schon 2016 hingewiesen, doch die PyPi-Maintainer reagierten nicht auf Warnungen.
https://www.golem.de/news/pypi-boesarti ... 30098.html
Ja, das machen die Chinesen besonders gern. Auch Handyanwendungen(APK) oder Programmierbibliotheken mit einem Trojaner versehen und dann zum Download anbieten.
Antworten