Популярные Python-библиотеки воруют ваши данные
Рет қаралды 15,541
Күн бұрынВ популярных для программирования среди Python-разработчиков библиотеках обнаружился вредоносный код, который ворует данные пользователей.
Таймкоды:
00:00 Вступление
00:54 Как код попал в библиотеки (например Colorama) и распространился
03:47 Что именно воровал этот код на компьютере разработчика
06:31 Что делать программистам?
НЕТ ВОЙНЕ!
Выразить благодарность
ko-fi.com/larchanka
boosty.to/larchanka
yoomoney.ru/to/410011886858328
BTC: 127J5x79L9bb7T4jiYJ2U7jHNDLXEx4kT3
USDT (TRC20): TWRQit8o1JJGWjAph3DZFysygUxSwqiq9Q
TON: UQBDiFGDTLpp1zWLefv0LnH9TbEeUIcPSoO5uDNwhzktKP33
Как я стал программистом
• КАК Я СТАЛ ПРОГРАММИСТОМ
Как я переехал в Европу
• Как я переехал в Европу
Стрим: Карьера программиста
• Карьера программиста: ...
VPN, который я использую
get.surfshark.net/SH1Wy
➡️ Сайт: i.mobila.name/xT
➡️ Instagram: i.mobila.name/yp
➡️ Twitter: i.mobila.name/Ua
➡️ Telegram: i.mobila.name/b7d
👉🏻 Больше влогов здесь:
#larchankavlog #larchanka
👉🏻 Ежедневные влоги:
#larchankadaily
👉🏻 Чем я снимаю:
➡️ iPhone 14 Pro
➡️ Еще одна камера: DJi Osmo Action
➡️ Еще одна камера: Sony DSC-WX500
Муызка:
Yessir - Bonkers Beat Club
@irvicon Ай бұрын
1. мошенники всегда более изобретательны чем большинство 2. берут статистикой - например телефонные мошенники, если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря 3. видео перекликается с недавней новостью о зараженной либой в Линуксе - идея та же = разведи лоха
@andrejaga3003 28 күн бұрын
"если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря" Вы слишком уж оптимистичны. Вот если из 1000 звонков в сутки хотя бы один принесет $50 -- это уже более реальный расклад.
@user-iq2st2el2d 26 күн бұрын
@@andrejaga3003 я посмотрю, здесь одни мошенники собрались. из 404 родом?
@AbraKadabra000 Ай бұрын
жду не дождусь, когда появятся чекеры кода, основанные на нейросетях. чтобы можно было не только проверять его функционал, но ещё и на вредоносность. конечно же, жду бесплатные)
@Diamant4150 25 күн бұрын
Что помешает использовать их злоумышленникам?
@AbraKadabra000 25 күн бұрын
@@Diamant4150 чтобы улучшать свой код?)) им чеккер кода не даст)
@rusliberal Ай бұрын
Зря Вы используете кричащие, ложные заголовки: Python опасен, Библиотеки воруют,..
@Alexey0795 Ай бұрын
сколько времени прошло с того как злоизменения опубликовали ? Если за пару месяцев это обнаруживается, то достаточно устанавливать версии полугодовой давности, или нет?
@ITryToBeBetterEveryDay Ай бұрын
Не особо понял, если скачивал колораму просто командой в командной строке то нужно бояться? Можно ли там было написать например с ошибкой и из-за этого скачалось бы не то?
@zubochistka2044 Ай бұрын
не ссы это проблема тех, кто пользовался python sdk если у тебя python и pip забей ваще
@samolevich Ай бұрын
спасибо блин +1 ещё фобия
@fahrenheit1863 Ай бұрын
Да чего уж там. Чего стоит история с CCleaner, часть Avfst, и тут такое.
@areksei59 Ай бұрын
Было бы в тему рассказать также прошлонедельную эпичную историю с либой xz-utils с бекдором в sshd.
@user-zb8cc2wy1x Ай бұрын
было, смотри)
@Sultan69996 Ай бұрын
Перед тем как пихать в пк файлы из интернета скидывайте их в отдельный пк и 155 раз перепроверяйте на наличие вирусов и тд. Скачивайте туда файлы и проводите эксперименты там а не в раббочем компьютере. Есть большая вероятность скачать скрытый майнер, вирус копировальщик энгри бёрз, скриншот запись экрана, историю записи нажатия клавиатуры и мыши ..... Доступ к камере, диктофону .....
@andreasstager1642 Ай бұрын
Бред, все как раз наоборот - рабочий комп это свалка, а вот финансовые и персональные дела как раз надо держать на отдельном чистом и неприкосновенном девайсе. Естественно, не в виртуалке на рабочем компе.
@helloiveqw5290 Ай бұрын
Если так размышлять, то нельзя даже есть смотря в телефон отвлечёшься , после поперхнёшься и вес гг тебе)
@1001bit Ай бұрын
и как же избавиться от этой заразы?
@igor_haib1579 Ай бұрын
Миша огонь, побольше подобного контента
@AndreyPanchenkoM 19 күн бұрын
Для разработки надо отдельную виртуальную машину. И никаких там криптокошельков и тд. Только работа
@mikep541 Ай бұрын
уровень гениальности хакеров - прям моё почтение :)
@redneck_prm5429 Ай бұрын
Какая неприятная пакость. Питон отдельного человека на зарплату посадил, что чисто безопасностью заниматься. Но вот от такого вектора там пока вряд-ли что-то завезут. Походу пора собственный нексус воткнуть проксей, чтоб только с pypi тягал.
@daiske2867 Ай бұрын
Не подскажете, что за тема используется в редактора, пусть не уместно, но все же?
@user-xr1ke6ep7u Ай бұрын
спасибо
@aleksandrdemidov6058 Ай бұрын
как страшно жить!? )
@user-qm2mu4rm6g Ай бұрын
Если кому интересно, какие действия предпринимать, а не просто испугаться страшную историю, у Mohammed Dief на medium есть статья, выглядит толковой
@user-xg3er7dw8y Ай бұрын
Хорошоая тема для ликбеза
@CaiN805 Ай бұрын
Интересный выпуск, так как интересуюсь ИБ
@-Critical_Thinking- 27 күн бұрын
Боюсь даже предположить, что если взломщик скромный, то что происходит? Я тут на тему CEO чота смотрел, ТУТ ЖЕ звонок! Это было весело...
@nabludatel4230 Ай бұрын
А вот нехай юзать библиотеки если можно обойтись без них)) А то привыкли блин, чуть что сразу за библиотеку хватаются.
@coox4546 Ай бұрын
log4j примерно так же позволял запускать любой код на groovy. Если мне не изменяет память. Причем это было встроенной фичой логгера.
@areksei59 Ай бұрын
насколько помню, там просто не предусмотрели такую уязвимость. Ну или по крайней мере, не нашли никаких доказательств злонамеренности))
@NikolayBarbanov Ай бұрын
грустная новость. Придется кибербез боать если хочешь питоном пользоваться😢
@mikhailmarkarian6992 Ай бұрын
посмотрел тебя - удалил пайтон
@MasterSergius 29 күн бұрын
После следующего видео придется выкинуть компуктер )
@kylex127 Ай бұрын
Лучше стараться писать на ассамблее , если конечно в вашем проце нет аппаратных дыр
@andreasstager1642 Ай бұрын
На Генассаблее ООН?
@kylex127 Ай бұрын
@@andreasstager1642 на ген ассамблее вашего процессора
@iliyabrook2933 27 күн бұрын
Наверное бародатая тема, так как сегодня в каждом попурярном open source репозитории куча тестов, такая штука с пробелами даже на самом убогом репозитории врят ли пройдет так как prettier как минимум уберет все пробелы, на py не иазрабатываю, но ра js все именно так)))
@HEX_CAT Ай бұрын
❤❤❤🎉🎉🎉
@dmarsentev Ай бұрын
Должна быть придумана какая-то экономическая модель для оупенсоурса, которая бы позволила делать анализ известных библиотек и выпускать их версии, заверенные подписями команд экспертов.
@mlr__roal_6867 Ай бұрын
Тогда оупенсоурс проет превратится в коммерческий.
@dmarsentev Ай бұрын
@@mlr__roal_6867 Вы напрасно противопоставляете коммерцию и оупенсоурс. Даже rms этого не делал. Масса оупенсоурс проектов вполне коммерчески успешна и не является бесплатной работой для создателей. Kernel, PostgreSQL, MySQL, nginx , clickhouse, PostgreSQL, MySQL, множество всяких джаваскриптовых ui-библиотек. Схема может быть придумана. Это может быть схема, похожая на выдачу ssl-сертификатов. Ведь ssl - открытый стандарт, но, тем не менее, вокруг него развёрнут бизнес по выдаче удостоверенных ssl-сертификатов. Примерно так же могут выданы и сертификаты на opensource. Не дословно так. А в духе таких идей.
@user-ig2ds3em3o Ай бұрын
тогда эти же люди станут в ряды "экспертов"
@letslearn3513 Ай бұрын
Open source предполагает, что каждый пользователь и есть эксперт, потому что ты используешь эти инструменты на свой страх и риск
@YanYasnyi Ай бұрын
Что значит должна? Кто такую задачу ставил и кто будет её выполнять? Да, и контролировать.
@AlexandrSpirit Ай бұрын
С прокруткой, это конечно совсем на джуна В нормальных командах. Да даже в небольших стартапах, вешают линтеры + большинство настраивает CI/CD так что если у тебя тот же isort не был перед коммитом использован, коммит не пройдёт. А тут, явно строка больше 120
@D1sance Ай бұрын
Что это?
@happypanda1995 Ай бұрын
Нужен анализатор подозрительного кода
@antons961 Ай бұрын
Достаточно не уподобляться npm-макакам, которые на каждый чих добавляют библиотеку (типа калорамы), фиксировать версии пакетов и использовать pip, тогда более чем с 99% вероятностью проблем не будет. Про горизонтальную прокрутку - вообще детский сад, если пользуешься линтерами, то такое не пройдет, если не пользуешься - иди повторно на курсы скиллбрейнса.
@user-xg5gw6zz3g Ай бұрын
охуенно пулл реквест проверили
@NikolayBarbanov Ай бұрын
херовая новость. кибербез похоже придется ботать если хочешь пользоваться питоном
@horlonangel Ай бұрын
Рано или поздно это должно было случится с такой тупой манерой когда всё качается с Интернета и одержимостью постоянно всё обновлять. Как всегда всех всё устраивает... Так что расхлёбывайте!
@LOVVA66 Ай бұрын
Миша как войти в ай ти с нуля?
@johnsnow6041 Ай бұрын
Нечего там делать
@user-cx8kh4sb2i Ай бұрын
зачем ты там нужен?
@LOVVA66 Ай бұрын
@@user-cx8kh4sb2iза ноутбуком )
@LOVVA66 Ай бұрын
@@johnsnow6041как это? Посмотри в интернете вакансий куча, нужны специалисты
@uszakow Ай бұрын
Открываешь вакансии в разделе для начинающих без опыта, читаешь что надо уметь чтобы податься, изучаешь это и подаешься.
@user-zb8cc2wy1x Ай бұрын
Капец))
@TalkerTube 15 күн бұрын
Ну и такое же гуано творится с npm пакетами
@rokot Ай бұрын
Если использовать pyinstaller, то на полученный exe будет ругаться антивирус
@user-kk2fr6db9f Ай бұрын
Потому что разработчики обленились. Что то свое писать не могут, проще скачать готовое типа безопасное потому что так нам сказали.
@saitaro Ай бұрын
Вы сами сторонние библиотеки используете или всё сами пишете?
@TheDoranX Ай бұрын
В смысле обленились? В чем вообще связь с ленью? Тебе ставят задачу и сроки. Писать свою библиотеку не то чтобы лениво, сколько не вкладывается в требования бизнеса. Если бизнес посчитает оправданным и необходимым создание библиотеки - будешь писать свою библиотеку. Конкуренты то не брезгуют в экономии времени на разработке велосипедов
@kdannothere Ай бұрын
Вы совершенно правы! Каждый разработчик должен создавать свой язык программирования, фреймворк и ОС!!!😂😂😂
@vitalyl1327 Ай бұрын
Любая сторонняя библиотека - риск и высокая стоимость поддержки. Но нынешние недопрограммистишки, особенно вся эта веб-шпана с их javascript-ами и питонами с рубями не могут жить без.менеджеров пакетов и готовы тянуть любцю, даже самую примитивную чушь из библиотек вместо того, чтобы все, что возможно, писать с нуля. Убогие. За это в более скрьезных разделах IT- индустрии веботу за программистов и не считают.
@andreasstager1642 Ай бұрын
А кто будет тебя кормить, пока ты будешь годами писать свои корявые велосипеды на каждый чих, а потом их поддерживать, когда тебя уволят? Ты наверное старый бездетный кошатник без интересов за пределами профессии, и суровый бородатый разработчик на крестах в госконторе, написал собственную, никому не нужную ОС с собственным компилятором в молодости, непосредственное начальство видел последний раз год назад, и в виду имел этот ваш гейский vcpkg?
@vitalyl1327 Ай бұрын
@@andreasstager1642 ага, давай, потягай сторонние библиотеки в любой серьезной организации (finance, automotive, aerospace, medical, industrial automation, ...) - без десятка бумажет, что головой отвечаешь за каждую строчку в чужом коде не обойдешься. Веб программистишки такие смешные...
@vitalyl1327 Ай бұрын
@@andreasstager1642 еще раз, стоимость поддержки стороннего кода *почти всегда* выше чем стоимость "написать с нуля". Если ты этого не понимаешь, то тебе саме место в вебе, и не лезь в серьезную разработку.
@vitalyl1327 Ай бұрын
@@andreasstager1642 коменты исчезают, независимо от содержания. Еще раз: писать с нуля в долгой перспективе намного дешевле, чем поддерживать сторонний код.
@andreasstager1642 Ай бұрын
@@vitalyl1327Вообще-то я Rust дев, и много лет отработал в энтерпрайзе, это к слову. Сколько народу в процентном соотношении работает в вышеперечисленных отраслях? Я бы тоже мечтал о ненапряжной работе за кучу бабла, где целыми днями сидишь пилишь какие-то библиотечки, обвешиваешь их тестами, бесконечно рефакторишь, и тебя при этом месяцами никто не трогает, а зарплата стабильно капает. Более того, за 25 лет в программизме я понял, что это самый мой любимый вид деятельности, писать нечто, что будет использоваться другими программистами, чтоб не было никаких контактов с конечными юзерами, никаких овертаймов и никаких ночных подъемов, из-за того, что где-то что-то покрешилось. Только где ж такую работу мечты найти? Всем подавай готовый продукт, да еще побыстрее, да чтоб максимально дешево, да еще чтоб по щелчку пальцев можно было найти тебе замену на рынке. А что там под капотом никого не интересует. Со всей ответственностью могу заявить, что даже швейцарский банк может отдать разработку на аутсорс кому попало и на чем попало. Они конечно проводят аудиты софта раз в 2-3 года, но делают их такие же индусы, как и те, что пишут этот софт.
@user-qh5kv3lq9t Ай бұрын
как ты попал в гей столицу? ты пассив или актив? домогаются ли тебя мужчины-работодатели?
@uszakow Ай бұрын
По вопросу можно догадаться, что спрашивающий из России - именно люди из России почему-то озабочены сексуальной темой и лезут со своими вопросами ко всем подряд 😆
@romandeveloper7720 Ай бұрын
не позорься
@user-ly4bd5et8l Ай бұрын
Россиянен пытается пошутить про гейство 😂😂
@dr.margulis7773 Ай бұрын
@@uszakow для них это больная тема. 100%-ные "натуралы". 😂😂😂
@user-qh5kv3lq9t Ай бұрын
@@uszakow Не ко всем подряд, а к Мише, который развелся и в гей столице живет сейчас с трансом
Папочка Дотнета
Рет қаралды 1 М.
Миша Ларченко
Рет қаралды 17 М.
Pingvinus
Рет қаралды 73 М.
ZProger [ IT ]
Рет қаралды 181 М.