( ヽ´ん`)「Pythonのパッケージが足りない？適当にpipでインスコしまくればいいか」→ウィルスだらけだった

1 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:35:40.24 ID:JYHPlNixd: 不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
掲載日
2023/06/19 11:17
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
https://news.mynavi.jp/techplus/article/20230619-2707529/
2 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:36:57.06 ID:t+lAGz0R0: オイオイオイ
まぁもうリリースして手を離れたからいっか
4 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:37:21.02 ID:xREXKdNwM: パイパイ酷いな
5 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:37:59.71 ID:NnLNmvxx0: 怖すぎる
npmとか大丈夫なの？
14 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:40:54.47 ID:Tb466il+0: >>5
アウトだぞ
58 名前:匿名のゴリラ投稿日時:2023/06/22(木) 21:05:33.53 ID:e8hsuTkcM: >>5
まえにあっただろcolorなんちゃら
6 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:38:52.25 ID:YRlVJcGb0: ぱいぱいがウィルスだらけ🦠
7 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:38:53.62 ID:xzSAQjOm0: ソース公開されてるから誰かが確認してるだろ
10 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:39:32.86 ID:Q4nqYWDN0: >>7
と思ったらされてなかったやつ
13 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:40:49.25 ID:Sg1C2fsX0: >>7
誰かが見てるやろ精神
なお誰も見てない模様
実際悪意のあるコード発見できるレベルで精査してるやつなんてそうそういなさそう
当然その間はやりたい放題
45 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:51:30.17 ID:67lIpgQ2p: >>13
こういうのこそAIが検査すればええやろ
38 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:48:49.73 ID:rOxIlQzI0: >>7
誰かが確認してるヨシ！
ヨシ！
ヨシ！
8 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:39:00.08 ID:Sg1C2fsX0: 結構誰でも登録できるよな
だからこうなる気がしてたわ
9 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:39:20.89 ID:9Sa/I+ft0: パッケージってなに？
19 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:42:10.47 ID:JYHPlNixd: >>9
追加機能みたいなもんだよ
デフォだと面倒なプログラムになるのを誰かが簡単に作れる機能を作って公開してる
その中にウイルスを混入させて公開してるやつがいるってこと
11 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:40:18.15 ID:zMuPrei+0: おぱーいパッケージ
12 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:40:47.47 ID:Nn+nAq7t0: npmにしても昔からやべーなと思ってたけど問題になるまで随分かかったなあ
逆に驚きがある
15 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:40:54.88 ID:cVesPney0: オープンソースだから見ないで入れても安心！
16 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:42:00.16 ID:BjyRoNA40: Pythonなんて怠け者の極地だから
中身なんて確認するはずない
17 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:42:07.05 ID:mW9NBCCQ0: 今まで誰もチェックしてへんかったんか？
まぁド定番のライブラリ以外は使わんようにしてるからひっかかかってないけど
18 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:42:10.21 ID:PaveydngM: pypi最近npm以上にカオスだと思う
21 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:42:27.25 ID:jfDdQvw+a: まぁこれかわからんけどトロイ入っててクレカ盗まれた
55 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:58:07.64 ID:KDkJoNjW0: >>21
トロイさんひひーーんで草
22 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:43:13.12 ID:jxPoex4d0: >>1
> 「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
作成者は今のところ一人だけか
23 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:43:18.71 ID:/KVCZLJm0: pytorch関連とか需要がありそうなのばっかだな
やべえなこれ
24 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:43:20.51 ID:x8KBMxyka: wingetも正直怖い
25 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:43:37.43 ID:NdjRedcb0: ウイルスバスターが除去してくれる
26 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:43:39.22 ID:/AUrRz2y0: condaなら大丈夫なのにpipって…
27 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:44:05.86 ID:nyMV3Xj40: condaは大丈夫なの？
28 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:44:38.02 ID:1925EDnU0: pip searchは復活したんだっけ？
29 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:44:38.30 ID:mW9NBCCQ0: AWSとかECRにプッシュしたらスキャンしてくれるけどこのリストにあるライブラリ使っててもスルーされてたんやろか？
30 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:44:48.51 ID:rLFh29cH0: ウィルスって何だよwブルースかよw
31 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:44:59.60 ID:/AUrRz2y0: そもそもライブラリなんてメジャーどころだけで十分だろ…
32 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:45:24.73 ID:tzoriN8wd: nugetもあかんか？
33 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:46:35.96 ID:Tdk88V4Kp: おぱーい install ぼよーん
34 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:46:45.60 ID:JYHPlNixd: 誰もcpanの名前を出さない件
インストール成功率低すぎない？
何かに付けてコケるわ
40 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:49:36.98 ID:/KVCZLJm0: >>34
perlなんてとっくの昔に忘却の彼方だわ
35 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:46:54.96 ID:PmFL6vbw0: パッケージインストラーって何がどっからどこに入ってるのか意味不明だから好きじゃないわ
なんなのあの仕組み
39 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:49:22.11 ID:JYHPlNixd: >>35
依存関係が複雑怪奇すぎて面倒くさい
手動インストールとかやってたらバージョンが違うだのなんだので日が暮れるし
36 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:48:23.27 ID:HhYpwjcS0: 意外とバージョン進んでるパッケージで草
別のパッケージの指定パッケージでインストールされたらすぐにはわからんな
37 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:48:40.76 ID:qMRTuUMWa: やっぱり誰もチェックしてなかったのか　PlayStoreでさえマルウェアまみれなのに無償のものが信用なんかできるはずないと思ったわ
41 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:49:46.41 ID:NLB33J010: condaとpipで入れたやつがごちゃごちゃになってしまった
42 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:49:47.05 ID:WW6nT4UhH: chrome拡張とかもちょっと怖いよな
44 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:49:59.49 ID:Nn+nAq7t0: goもやばいんでないの？
あれghの野良パッケージ直参照してるように見えるけど、仕組みよく知らない
46 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:51:38.28 ID:WMvYEm2q0: は？ふざけんなよ
47 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:53:12.08 ID:Ew0whDLp0: pandas-numpyそうだったんだな
48 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:53:26.27 ID:dJX0aGCe0: 審査とかないの？
49 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:54:40.59 ID:Ywk9Hobq0: 逆にこういう所にどうやったらアップロードできるのかわからん
50 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:55:16.38 ID:Vi5sG6x00: AI使い、逝く
51 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:55:18.90 ID:oFMZ5T6E0: Docker環境ならええよな？
52 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:56:08.91 ID:mkQyW7Y+0: オープンソースなんだから自分で確認できるだろ？？
53 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:56:57.59 ID:dU60c7JF0: 有名パッケージの1字違いとかたくさんあるからな
パッケージ名は絶対手入力するなよ
54 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:57:28.22 ID:1zXeHJus0: どこの誰かも分からん奴のスクリプトを走らせる狂気
56 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:58:40.69 ID:f4Kb7pFw0: パッケージリポジトリ側でウィルスチェックぐらいして欲しいわ
57 名前:匿名のゴリラ投稿日時:2023/06/22(木) 20:59:29.90 ID:kRxvj0Uf0: やべえって言われてから、最新のPythonではpipは使えなくなったぞ
pipxという仮想環境にいちいち入れられる。あるべき姿だったけど今まで適当だった

コメント一覧