https://www.golem.de/news/pypi-boesarti ... 30098.htmlIm Python-Paketrepository PyPi wurden verschiedene Pakete entdeckt, deren Namen existierenden Paketen ähneln und die eine Verbindung zu einem chinesischen Server aufbauen. Auf das grundlegende Problem wurde schon 2016 hingewiesen, doch die PyPi-Maintainer reagierten nicht auf Warnungen.
Bösartige Python-Pakete entdeckt
- noisefloor
- User
- Beiträge: 3859
- Registriert: Mittwoch 17. Oktober 2007, 21:40
- Wohnort: WW
- Kontaktdaten:
Hallo,
das gleiche Problem gab's vor kurzer Zeit auch bei node.js bzw. Paketen, die man via npm installieren konnte. Wobei es bei node.js (auch) nicht zu Schäden bei Nutzern kam, AFAIK.
Aber es zeigt sich wieder: je populärer die Plattform, desto "beliebter" werden diese für Angriffe / Schadsoftware.
Gruß, noisefloor
das gleiche Problem gab's vor kurzer Zeit auch bei node.js bzw. Paketen, die man via npm installieren konnte. Wobei es bei node.js (auch) nicht zu Schäden bei Nutzern kam, AFAIK.
Aber es zeigt sich wieder: je populärer die Plattform, desto "beliebter" werden diese für Angriffe / Schadsoftware.
Gruß, noisefloor
Ich meine mich daran erinnern zu können dass das Problem schon vor Jahren mal in einem Vortrag bei einer PyCon angesprochen wurde. Grundsätzlich ist dieses Problem einfach nicht zu lösen, zumindest nicht mit akzeptablen Aufwand.
Ja, das machen die Chinesen besonders gern. Auch Handyanwendungen(APK) oder Programmierbibliotheken mit einem Trojaner versehen und dann zum Download anbieten.snafu hat geschrieben: ↑Sonntag 17. September 2017, 12:30https://www.golem.de/news/pypi-boesarti ... 30098.htmlIm Python-Paketrepository PyPi wurden verschiedene Pakete entdeckt, deren Namen existierenden Paketen ähneln und die eine Verbindung zu einem chinesischen Server aufbauen. Auf das grundlegende Problem wurde schon 2016 hingewiesen, doch die PyPi-Maintainer reagierten nicht auf Warnungen.