Das deutsche Python-Forum

Im Python-Paketrepository PyPi wurden verschiedene Pakete entdeckt, deren Namen existierenden Paketen ähneln und die eine Verbindung zu einem chinesischen Server aufbauen. Auf das grundlegende Problem wurde schon 2016 hingewiesen, doch die PyPi-Maintainer reagierten nicht auf Warnungen.

https://www.golem.de/news/pypi-boesarti ... 30098.html

Hallo,

das gleiche Problem gab's vor kurzer Zeit auch bei node.js bzw. Paketen, die man via npm installieren konnte. Wobei es bei node.js (auch) nicht zu Schäden bei Nutzern kam, AFAIK.

Aber es zeigt sich wieder: je populärer die Plattform, desto "beliebter" werden diese für Angriffe / Schadsoftware.

Gruß, noisefloor

Ich meine mich daran erinnern zu können dass das Problem schon vor Jahren mal in einem Vortrag bei einer PyCon angesprochen wurde. Grundsätzlich ist dieses Problem einfach nicht zu lösen, zumindest nicht mit akzeptablen Aufwand.

snafu hat geschrieben: ↑Sonntag 17. September 2017, 12:30

Im Python-Paketrepository PyPi wurden verschiedene Pakete entdeckt, deren Namen existierenden Paketen ähneln und die eine Verbindung zu einem chinesischen Server aufbauen. Auf das grundlegende Problem wurde schon 2016 hingewiesen, doch die PyPi-Maintainer reagierten nicht auf Warnungen.

https://www.golem.de/news/pypi-boesarti ... 30098.html

Ja, das machen die Chinesen besonders gern. Auch Handyanwendungen(APK) oder Programmierbibliotheken mit einem Trojaner versehen und dann zum Download anbieten.