Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI"	+/–
Сообщение от opennews (?), 30-Июл-25, 23:00
Администраторы репозитория Python-пакетов PyPI (Python Package Index)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63647
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Самый Лучший Гусь (?), 30-Июл-25, 23:00	+8 +/–
В принципе от такого никто не застрахован так что просто надо это принять
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

3. Сообщение от Эксконтрибутор FreeBSD (?), 31-Июл-25, 00:11	+/–
> ведущую на сайт pypj.org (от официального сайта pypi.org домен отличается буквой "j" вместо "i" с расчётом на невнимательность получателя) А ведь могли ɪ или í использовать еще, например и кучу других похожих букв Ну если рассчитано на тех кто один фиг не смотрит В латинице вообще(в расширенной) десятка полтора производных от i
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от Аноним (5), 31-Июл-25, 07:27	–1 +/–
Это фича латинского языка. Но то что в их клавиатуре m и n рядом - это баг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (6), 31-Июл-25, 07:35	+1 +/–
Правильные адреса, проверяйте внимательно: www:    https://pypі.org E-mail: noreply@pypі.org По теме: 1. Разрабам необходимо подписывать релизы пакетов OpenPGP. 2. Пользователям кроме проверки цифровой подписи следить за неизменностью ключа по сравнению с предыдущим релизом, а если ключ изменился, то проверять кросс подписи старого и нового ключей.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Жироватт (ok), 31-Июл-25, 08:04	–2 +/–
Хм... Видимо настройка верификации рассылок типа DKIM/SPF/DMARK оказалась не под силу авторам питоньего репа. Так и запишем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9, #11

8. Сообщение от Аноним (-), 31-Июл-25, 08:04	+/–
Лучше держать у себя WoT всех ключей разрабов ПО: https://www.linux.org.ru/forum/security/16839105?cid=16840324 Хотя метода контроля неизменности ключа OpenPGP, по сравнению с предыдущимирелизом и проверки кросс подписей в случае изменения ключа, вполне хватит для защити от бекдоров типа xz utils.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #23

9. Сообщение от Аноним (9), 31-Июл-25, 08:06	+/–
> авторам питоньего репа Заняты созданием ИИ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #16

10. Сообщение от Аноним (10), 31-Июл-25, 08:18	+2 +/–
Надо просто профиксить латинский язык, надо выбросить j из алфавита и оставив i.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14, #19

11. Сообщение от Аноним (11), 31-Июл-25, 08:31	+1 +/–
Вот на таких и рассчитан фишинг. Бегло пробежался по тексту и вперед - писать комменты, подтверждать мейл и тд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15, #25

13. Сообщение от Эксконтрибутор FreeBSD (?), 31-Июл-25, 08:36	–1 +/–
> Надо просто профиксить латинский язык, надо выбросить j из алфавита и оставив > i. Латинский язык мертв А латиница используется в огромном количестве языков и ничего ты там не пофиксишь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Жироватт (ok), 31-Июл-25, 08:42	+/–
Да, в этом плане дезереткий алфавит хорош. Или армянский. А вообще - во всех неироглифических алфавитах есть наборы типа [i, j, ...] или [0, o, O, ...], или [I, l, 1, ...]. Чтобы не было полумер - нужно делать свой и правильный, у которого графика букв отличаться будет не только после установки правильно сделанных моноширинных шрифтов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17, #20

15. Сообщение от Жироватт (ok), 31-Июл-25, 08:57	–1 +/–
> Вот на таких и рассчитан фишинг. Ага. Дали им механизмы, которые на уровне почтового клиента могут проорать юзеру "pypj <> pypi, у них сертификаты разные, я это письмо получил только сейчас за всю историю", но нет, будем пользоваться чем есть, особенно всякими дефективными вебмордами к гмылу, где адрес отправителя писан так, что из-за ДИЗАЕНА и КИЛИСИВЫХ ШРЕВТОВ действительно сложно разобрать i там или j. И нет никаких пометок о DKIM-проверке, ведь юзеру СЛО-о-о-о-о-ОЖНА.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #27

16. Сообщение от Жироватт (ok), 31-Июл-25, 09:00	+1 +/–
Главное, чтобы потом этот ИИ всё-таки психанул и сел@настроил все эти механизмы безопасности вместо кожаных мешков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

17. Сообщение от Аноним (17), 31-Июл-25, 09:04	+/–
А ещё для науки бы алфавит. А то букв латинского и греческого порой не хватает, чтобы не повторяться, в формулах да в той же теорфизике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от Аноним (19), 31-Июл-25, 09:37	+/–
Пора уже нейросетью скопировать все нужные пакеты и закрыть эту богодельню.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

19. Сообщение от Аноним (19), 31-Июл-25, 09:38	+/–
И запретить буквы, от них одни проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

20. Сообщение от Аноним (-), 31-Июл-25, 09:53	–2 +/–
Правильный алфавит - глаголица: https://ru.m.wikipedia.org/wiki/%D0%93%D0... остальные алфавиты - ересь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26

21. Сообщение от Аноним (9), 31-Июл-25, 10:19	+/–
Каждому хочется что-то да значить. "Вчера был простой пацан. Сегодня - генеральный директор. Не каждому дано". (c)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (23), 31-Июл-25, 10:41	+/–
Разве в xz не мэйнтэйнер внедрял? Как это помогло бы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29

24. Сообщение от Аноним (25), 31-Июл-25, 10:46	–1 +/–
Много питонисты зарабатывают? Говорят питонистов джунов после курсов расплодилось, что не устроиться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

25. Сообщение от Аноним (25), 31-Июл-25, 10:49	+/–
>Бегло пробежался по тексту А зачем, я сразу пишу коменты, не читая текста новости даже. Зачем время терять, настоящему анонимному эксперту это без необходимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от Аноним (25), 31-Июл-25, 10:54	+/–
Правильный алфавит - Алеф-Бет https://ru.wikipedia.org/wiki/Еврейское_письмо Остальные алфавиты - ересь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #31

27. Сообщение от Аноним (11), 31-Июл-25, 10:55	+/–
Ты видимо таки удосужился теперь прочитать текст новости, но продолжаешь нести чушь. В смысле разработчики питона должны были настраивать почтовик у пользователей? шрифты на гмыле !? Или на чужом домене pypj настраивать "DKIM/SPF/DMARK"? Как это связано с наличием/отсутствием этих аббревиатур на самом pypi?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #32

28. Сообщение от Аноним (25), 31-Июл-25, 10:56	+/–
У меня одного PyPI читается в голвое как paypal?
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (-), 31-Июл-25, 11:13	+/–
У меня zx utils и ещё пару пакетов с исходниками подсветились красным при автоматизированной проверки подписей: Подписан новым ключом который не имеет кросс подписи со старым ключом!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от Cykooz (ok), 31-Июл-25, 11:15	+/–
Не можешь победить - возглавь. Надо таким сервисам перехватить инициативу. Самим каждую неделю рассылать ментейнерам популярных библиотек фишинговые письма. Если кто-то попался - лишать ментейнерских прав. И не возвращать их, пока не предоставят свежую справку о том, что прослушали курс по основам информационной безопасности. PS: Это, кстати, идея для стартапа, который сможет выполнять эту работу регулярно и со знанием дела.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

31. Сообщение от Аноним (31), 31-Июл-25, 11:21	+/–
К счастью, окончательно вымирает, кстати, а вязь, к сожалению, не показывает таких тенденций. Хотя, достаточно приличного 1 конфликта, чтобы взаимоуничтожить всех носителей. А так, у греческого алфавита больше шансов выжить, его даже сегодня примерно все в мире знают. В целом, кириллица более стильная, и лишена подобных недостатков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #36

32. Сообщение от Эксконтрибутор FreeBSD (?), 31-Июл-25, 12:46	+/–
У pypi.org все прекрасно с SPF, DKIM, DMARC А ты прочитай новость «Сообщения отправлялись с адреса "noreply@pypj.org"» Перечитывай пока не поймешь И главный прикол, что у pypj.org тоже могло быть все прекрасно и получатель даже лезущий проверять заголовки мог увидеть типа «spf пройдена проверка, dkim валидна» и спокойно пойти по ссылке так и не заметив, что домен не тот
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33, #35

33. Сообщение от Аноним (11), 31-Июл-25, 12:49	+1 +/–
подозреваю, что это был ответ таки жироватту, а не мне
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

34. Сообщение от Аноним (34), 31-Июл-25, 13:32	+/–
Идея отличная, хотя я бы лишал навсегда ментейнерских прав. Если перед ментейнерами будет висеть переспектива лишиться должности, это будет здорово мотивировать на внимательность. Ну и устраивать регулярные показательные порки тоже весьма желательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

35. Сообщение от Аноним9000 (?), 31-Июл-25, 13:42	+/–
Ну всё-таки не прекрасно, должна быть политика reject, а не quarantine
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #37

36. Сообщение от Аноним (25), 31-Июл-25, 13:53	+/–
>А так, у греческого алфавита больше шансов выжить, его даже сегодня примерно все в мире знают. Да никто греческого не знает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #38, #39

37. Сообщение от Эксконтрибутор FreeBSD (?), 31-Июл-25, 14:14	+/–
Ну это уже мелочь, возможно по каким-то причинам они сейчас поставили карантин Главное, что все есть и есть -all в том же spf, что уже защищает от скама на приличные почтовики
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от Аноним (31), 31-Июл-25, 16:49	+/–
>>А так, у греческого алфавита больше шансов выжить, его даже сегодня примерно все в мире знают. > Да никто греческого не знает. Популяризован культурой. Сейчас механическими часами меньше людей пользоваться может. Что странно, римские цифры и механические часы это навыки для среднего человека лет 3, а тут взрослые люди не понимают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

39. Сообщение от Аноним (39), 31-Июл-25, 17:06	+/–
действительно никто не знает, что такое альфа и омега , бета, гамма, дельты , эпсилоны, пи всякие с лямбдами и сигмами. Зато все знают буквы глаголицы )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

40. Сообщение от Аноним (39), 31-Июл-25, 17:09    Скрыто ботом-модератором	+/–
я такое же про растоманов и джавистов говорю :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

41. Сообщение от Dzen Python (ok), 31-Июл-25, 20:54	+/–
И через сколько возникнет ЕЩЁ один рассадник питоновских пакетов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема