forum.opennet.ru - "В RubyGems выявлено 724 вредоносных пакета" (50)

"В RubyGems выявлено 724 вредоносных пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В RubyGems выявлено 724 вредоносных пакета"	+/–
Сообщение от opennews (??), 22-Апр-20, 10:26
Компания ReversingLabs опубликовала результаты анализа применения тайпсквоттинга в репозитории RubyGems. Обычно тайпсквоттинг применяется для распространения вредоносных пакетов, рассчитанных на то, что невнимательный разработчик при поиске допустит опечатку или не заметит разницы. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52785
Ответить \| Правка \| Cообщить модератору

Оглавление

Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате, Аноним (1), 10:26 , 22-Апр-20, (1) +11

ну, согласись, 700 штук с двух акаунтов - это все же достижение , нах. (?), 11:47 , 22-Апр-20, (14) +8
Для публично открытых на запись репозиториев следовало бы придумать другое наз, gogo (?), 14:13 , 22-Апр-20, (24) +11

crapository - звучит продвигай идею в палату мер и весов, мы тебя поддержим , Константавр (ok), 15:08 , 22-Апр-20, (28) +12

Тогда уж coprository , Nxx (ok), 12:16 , 23-Апр-20, (48)

Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и , заминированный тапок (ok), 16:08 , 22-Апр-20, (31) –2

При чем тут закрытый код Речь про открытые репозитории, неважно, что в них лежи, MadeInRussiaPlus (?), 10:41 , 24-Апр-20, (55)

приношу извининения, тк я не думал, что существуют настолько открытые репозитори, заминированный тапок (ok), 11:22 , 24-Апр-20, (56)

Как хорошо, что не использую софт на руби , Аноним (1), 10:32 , 22-Апр-20, (2)

Рад за коллегу, но , Аноним (3), 10:39 , 22-Апр-20, (3) +6

1 Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать 2 Контр, Аноним (1), 10:51 , 22-Апр-20, (8) +4

оно примерно так и работает фактическимеханизм отличия хороших от плохих в студи, JL2001 (ok), 11:37 , 22-Апр-20, (12)

1 Идентификация пакетов в репозитории строго по подписи OpenPGP ключа 2 Строга, Аноним (21), 12:59 , 22-Апр-20, (21) –1

Да подпись тут -- инструмент, вопрос в доверии к ней и подписавшему Это зада, Michael Shigorin (ok), 14:16 , 22-Апр-20, (25) +2

gpg --check-trustdbДает возможность верифицировать базу публичных ключей Можно в, Аноним (45), 06:19 , 23-Апр-20, (45)

и что же им помешает набрать подписи , JL2001 (ok), 13:07 , 24-Апр-20, (58)

А говнокодомакаки как костылили с использованием левых модулей, так и будут дале, microsoft (?), 19:17 , 22-Апр-20, (34)

Хочется M монопольнои контролировать верификацию пакетов в GNU Linux Сколько б, Аноним (45), 06:30 , 23-Апр-20, (46)

Хорошие разработчики тоже используют инструментарий SDK к примеру и вообще чужо, Аноним (3), 11:56 , 22-Апр-20, (16)
Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты Злоумышленники создали Н, funny.falcon (?), 13:16 , 22-Апр-20, (23) +3

Да на Node js тебе ничего не угрожает , Аноним (9), 10:53 , 22-Апр-20, (9) +7

И JS тоже нигде не использую, даже dbus polkitd не устанавливаю , Аноним (21), 13:01 , 22-Апр-20, (22) +1

В зависимости подставить можно Если нет - то тут уж у кого глаз острее, КО (?), 10:40 , 22-Апр-20, (4)
а сколько их в нпм , Аноним (5), 10:40 , 22-Апр-20, (5) +1

NPM всего-то в 100 раз больше размером, Аноним (7), 10:48 , 22-Апр-20, (7) +1

Гусары, молчать , Michael Shigorin (ok), 14:17 , 22-Апр-20, (26) +1
Низабудим про лифтпад 111, Lex (??), 01:18 , 23-Апр-20, (41) +1
И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - ос, Аноним84701 (ok), 17:47 , 23-Апр-20, (54) +1

Там даже целенаправленный зловредный код может быть опасен , Аноним (9), 10:54 , 22-Апр-20, (10)

Если я правильно посмотрел, то в rubygems всего 10620 пакетов 724 от этих 10620, Аноним (7), 10:46 , 22-Апр-20, (6)

Это вы нашли пока только 724Думаешь, у меня было только два акаунта , разработчик (?), 12:03 , 22-Апр-20, (17) +6

репозитории, говорили они, мантейнеры, говорили они, JL2001 (ok), 11:26 , 22-Апр-20, (11)

какие майнтейнеры Там практически анонимная свалка , Константавр (ok), 15:10 , 22-Апр-20, (29)

а кто, используя RubyGems, понимает это большинство считают репозиторием а не с, JL2001 (ok), 13:04 , 24-Апр-20, (57)

невнимательный разработчик ох уж эта ваша политкорректность , Аноним (18), 12:16 , 22-Апр-20, (18) –1

А как правильно Негр , Аноним (30), 15:13 , 22-Апр-20, (30)

Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики , robot228 (?), 12:32 , 22-Апр-20, (19) –1
RubyGerms, user (??), 12:51 , 22-Апр-20, (20)
Как так-то Как так-то , Аноним (33), 19:04 , 22-Апр-20, (33)
Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами вино, microsoft (?), 19:20 , 22-Апр-20, (35)

Как, одной командочкой скачивая пакетик leftpad-makes-everything-good вместе с, Онаним (?), 20:51 , 22-Апр-20, (37)
А как ты узнаешь, что тебе нужно, и как оно называется Простые батарейки конечн, Аноним (39), 21:26 , 22-Апр-20, (39)

Не использовать такое уг в проекте Иииии проверять то что подключаеш а не верит, microsoft (?), 21:48 , 22-Апр-20, (40)
Количество и частота скачиваний, количество звёзд и issue в т ч исправленных в, Lex (??), 01:23 , 23-Апр-20, (42)

Если бы это ещё работало Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, , Аноним (39), 02:20 , 23-Апр-20, (44)
Лучший критерий - время загрузки первой версии , nebularia (ok), 12:20 , 23-Апр-20, (50)

Хы осталось дождаться, когда эти исследователи доберутся до hex pm , YetAnotherOnanym (ok), 21:09 , 22-Апр-20, (38)
Помнити лифтпад , Аноним (43), 01:49 , 23-Апр-20, (43) +1
Зловещие мертвецы, Аноним (47), 11:14 , 23-Апр-20, (47)
Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях, Аноним (52), 16:43 , 23-Апр-20, (52)

Сообщения [Сортировка по времени | RSS]

1. "В RubyGems выявлено 724 вредоносных пакета" +11 +/–

Сообщение от Аноним (1), 22-Апр-20, 10:26

Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате вам опять!

Ответить | Правка | Наверх | Cообщить модератору

14. "В RubyGems выявлено 724 вредоносных пакета" +8 +/–

Сообщение от нах. (?), 22-Апр-20, 11:47

ну, согласись, 700 штук с двух акаунтов - это все же достижение!

Ответить | Правка | Наверх | Cообщить модератору

24. "В RubyGems выявлено 724 вредоносных пакета" +11 +/–

Сообщение от gogo (?), 22-Апр-20, 14:13

Для публично открытых на запись "репозиториев" следовало бы придумать другое название, дабы не путать с нормальными репозиториями.
Например говнозиторий. Или репоговнорий. Или говноговнорий. Всем бы было понятно.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "В RubyGems выявлено 724 вредоносных пакета" +12 +/–

Сообщение от Константавр (ok), 22-Апр-20, 15:08

crapository - звучит :) продвигай идею в палату мер и весов, мы тебя поддержим :)

Ответить | Правка | Наверх | Cообщить модератору

48. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Nxx (ok), 23-Апр-20, 12:16

Тогда уж coprository.

Ответить | Правка | Наверх | Cообщить модератору

31. "В RubyGems выявлено 724 вредоносных пакета" –2 +/–

Сообщение от заминированный тапок (ok), 22-Апр-20, 16:08

Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и думать что спрятался и в безопасности
Но у проприетарщиков обычно и уровень развития 6-летнего

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

55. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от MadeInRussiaPlus (?), 24-Апр-20, 10:41

При чем тут закрытый код? Речь про открытые репозитории, неважно, что в них лежит, проприетарной или открытое ПО.
Это как сайт без HTTPS, открытый для MITM. Неважно, на чем он написан, ASP.NET или RoR, открыт его код или закрыт.
Речь о том, что нужно ужесточать контроль за репозиториями. Например, все так же разрешать загружать любые пакеты, но делать процедуру получения флага "trusted", а пользователи без флага маркировать как требующие особой осторожности со стороны пользователей.

Ответить | Правка | Наверх | Cообщить модератору

56. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от заминированный тапок (ok), 24-Апр-20, 11:22

приношу извининения, тк я не думал, что существуют настолько открытые репозитории (точнее свалка)
и не думал что существуют те, кто таким слепо пользуется
не перестают удивлять феноменам современности
просто дичь

Ответить | Правка | Наверх | Cообщить модератору

2. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (1), 22-Апр-20, 10:32

Как хорошо, что не использую софт на руби.

Ответить | Правка | Наверх | Cообщить модератору

3. "В RubyGems выявлено 724 вредоносных пакета" +6 +/–

Сообщение от Аноним (3), 22-Апр-20, 10:39

Рад за коллегу, но
> проблема не специфична для RubyGems и касается других популярных репозиториев

Ответить | Правка | Наверх | Cообщить модератору

8. "В RubyGems выявлено 724 вредоносных пакета" +4 +/–

Сообщение от Аноним (1), 22-Апр-20, 10:51

1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать!
2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов.
3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.

Ответить | Правка | Наверх | Cообщить модератору

12. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от JL2001 (ok), 22-Апр-20, 11:37

> 1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать!
оно примерно так и работает фактически
> 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов.
механизм отличия хороших от плохих в студию (плохих предлагаю скриптом сразу расстреливать)
> 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.
оно так и работает чаще всего (https всякий)

Ответить | Правка | Наверх | Cообщить модератору

21. "Не примерно надо, а точно!" –1 +/–

Сообщение от Аноним (21), 22-Апр-20, 12:59

1. Идентификация пакетов в репозитории строго по подписи OpenPGP ключа.
2. Строгая верификация публичных OpenPGP ключей пользователей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4
Скрипт для отстрела левых пакетов в репозитории:
Создаем список публичных ключей не прошедших проверку:
gpg --check-trustdb
Удаляем все пакеты с репозитория без подписи или подписанные ключами не прошедшими проверку.
3. Каждый пользователь репозитория должен у себя поддерживать, периодически проверять, публичные ключи разрабов пакетов и по них верифицировать скачанные с репозитория пакеты.

Ответить | Правка | Наверх | Cообщить модератору

25. "Не примерно надо, а точно!" +2 +/–

Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:16

Да подпись тут -- инструмент, вопрос в доверии к ней (и подписавшему). Это задачка на репутацию, а не на криптуху.

Ответить | Правка | Наверх | Cообщить модератору

45. "Задача именно на криптуху." +/–

Сообщение от Аноним (45), 23-Апр-20, 06:19

gpg --check-trustdb
Дает возможность верифицировать базу публичных ключей.
Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а 5 подписей.
Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже 3 подписей.
Репутация здесь больше о корректности работы с ключиками. Если небрежно относится к хранению приватных ключей и подписывать левые публичные ключи, то создаются проблемы. Придется добавлять blacklist с плохими пользователями ключей и не учитывать их подписи при верификации.
Если команда длительное время развивает проект и сама его использует, то вероятность внедрения закладок низкая. Когда забежал и сразу пару сот проектов в репу загнал, а публичный ключ его никто не подписал, то это наверняка зловреды и отсутствие подписей публичного ключа значительно притормозил их распространение.

Ответить | Правка | Наверх | Cообщить модератору

58. "Задача именно на криптуху." +/–

Сообщение от JL2001 (ok), 24-Апр-20, 13:07

> gpg --check-trustdb
> Дает возможность верифицировать базу публичных ключей.
> Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а
> 5 подписей.
> Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже
> 3 подписей.
и что же им помешает набрать подписи???

Ответить | Правка | Наверх | Cообщить модератору

34. "Не примерно надо, а точно!" +/–

Сообщение от microsoft (?), 22-Апр-20, 19:17

А говнокодомакаки как костылили с использованием левых модулей, так и будут дале

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

46. "Не примерно надо, а точно!" +/–

Сообщение от Аноним (45), 23-Апр-20, 06:30

Хочется M$ монопольнои контролировать верификацию пакетов в GNU/Linux? Сколько будете со счета списывать за загрузку GNU/Linux?
https://www.opennet.ru/openforum/vsluhforumID3/120270.html#190

Ответить | Правка | Наверх | Cообщить модератору

16. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (3), 22-Апр-20, 11:56

Хорошие разработчики тоже используют инструментарий. SDK к примеру и вообще чужой код, в том числе открытый. Но https://www.computerra.ru/261789/kak-prilozheniya-shpionyat-.../ И как нам, хорошим, быть?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

23. "В RubyGems выявлено 724 вредоносных пакета" +3 +/–

Сообщение от funny.falcon (?), 22-Апр-20, 13:16

Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты.
Злоумышленники создали НОВЫЕ пакеты от СВОЕГО имени.
Просто имена подобрали подходящие на существующие: если кто-то опечатается, или в поиске выберет не тот, то попадётся.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

9. "В RubyGems выявлено 724 вредоносных пакета" +7 +/–

Сообщение от Аноним (9), 22-Апр-20, 10:53

Да на Node.js тебе ничего не угрожает.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Аноним (21), 22-Апр-20, 13:01

И JS тоже нигде не использую, даже dbus & polkitd не устанавливаю.

Ответить | Правка | Наверх | Cообщить модератору

4. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от КО (?), 22-Апр-20, 10:40

В зависимости подставить можно?
Если нет - то тут уж у кого глаз острее

Ответить | Правка | Наверх | Cообщить модератору

5. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Аноним (5), 22-Апр-20, 10:40

а сколько их в нпм...

Ответить | Правка | Наверх | Cообщить модератору

7. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Аноним (7), 22-Апр-20, 10:48

NPM всего-то в 100+ раз больше размером

Ответить | Правка | Наверх | Cообщить модератору

26. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:17

Гусары, молчать!

Ответить | Правка | Наверх | Cообщить модератору

41. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Lex (??), 23-Апр-20, 01:18

Низабудим про лифтпад!!111

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

54. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Аноним84701 (ok), 23-Апр-20, 17:47

> NPM всего-то в 100+ раз больше размером
И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - основная часть бизнеса?
Или опять сравнивается мягкое и фиолетовое?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (9), 22-Апр-20, 10:54

Там даже целенаправленный зловредный код может быть опасен.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (7), 22-Апр-20, 10:46

Если я правильно посмотрел, то в rubygems всего 10620 пакетов. 724 от этих 10620 это почти 7%.

Ответить | Правка | Наверх | Cообщить модератору

17. "В RubyGems выявлено 724 вредоносных пакета" +6 +/–

Сообщение от разработчик (?), 22-Апр-20, 12:03

Это вы нашли пока только 724
Думаешь, у меня было только два акаунта?

Ответить | Правка | Наверх | Cообщить модератору

11. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от JL2001 (ok), 22-Апр-20, 11:26

репозитории, говорили они, мантейнеры, говорили они

Ответить | Правка | Наверх | Cообщить модератору

29. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Константавр (ok), 22-Апр-20, 15:10

какие майнтейнеры? Там практически анонимная свалка.

Ответить | Правка | Наверх | Cообщить модератору

57. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от JL2001 (ok), 24-Апр-20, 13:04

> какие майнтейнеры? Там практически анонимная свалка.
а кто, используя RubyGems, понимает это? большинство считают репозиторием а не свалкой

Ответить | Правка | Наверх | Cообщить модератору

18. "В RubyGems выявлено 724 вредоносных пакета" –1 +/–

Сообщение от Аноним (18), 22-Апр-20, 12:16

"невнимательный разработчик".. ох уж эта ваша политкорректность.

Ответить | Правка | Наверх | Cообщить модератору

30. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (30), 22-Апр-20, 15:13

А как правильно? Негр?

Ответить | Правка | Наверх | Cообщить модератору

19. "В RubyGems выявлено 724 вредоносных пакета" –1 +/–

Сообщение от robot228 (?), 22-Апр-20, 12:32

Не удивительно что в одном из лучших и крупнейших архивах яп выявлены троянчики=)

Ответить | Правка | Наверх | Cообщить модератору

20. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от user (??), 22-Апр-20, 12:51

RubyGerms

Ответить | Правка | Наверх | Cообщить модератору

33. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (33), 22-Апр-20, 19:04

Как так-то? Как так-то?!

Ответить | Правка | Наверх | Cообщить модератору

35. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от microsoft (?), 22-Апр-20, 19:20

Может макаки уже начнут проверять имена пакетов и перестать ныть когда сами виноваты?

Ответить | Правка | Наверх | Cообщить модератору

37. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Онаним (?), 22-Апр-20, 20:51

Как, одной командочкой скачивая пакетик "leftpad-makes-everything-good" вместе со всеми зависимостями, ещё надо что-то проверять?

Ответить | Правка | Наверх | Cообщить модератору

39. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (39), 22-Апр-20, 21:26

А как ты узнаешь, что тебе нужно, и как оно называется? Простые батарейки конечно просмотришь глазами (1 раз), но со сложными как быть? Если есть возможность, я смотрю на список других пакетов автора. И копирую, чтобы не ошибиться при вводе. Так ведь не проблема нагенерировать по автору на каждый пакет! И как ты отличишь это нормальный форк, или малварь? А если половина авторов просто китайские нонеймы?

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

40. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от microsoft (?), 22-Апр-20, 21:48

Не использовать такое уг в проекте. Иииии проверять то что подключаеш а не верить васяну на чисто ну тут я те говору да мамо клянусь все путем

Ответить | Правка | Наверх | Cообщить модератору

42. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Lex (??), 23-Апр-20, 01:23

Количество и частота скачиваний, количество звёзд и issue( в т.ч исправленных )в репе проекта
Очевидно же, что если есть пара почти одинаковых пакетов, но у одного 10 тыс скачиваний, а у другого - просто 10, то кто-то желает кого-то н*ть, надеясь, что пользователи не заметят разницы в названии.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

44. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (39), 23-Апр-20, 02:20

Если бы это ещё работало. Обычно ближе у 1 100 скачиваний, но протухло, у 2 10, но не протухло. А на гитхабе ещё и 100500 форков, пойди найди живой. Выбирай. При этом обычно там ещё и норм код оказывается, намного лучше, чем сейчас бы накостылял под задачу.

Ответить | Правка | Наверх | Cообщить модератору

50. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от nebularia (ok), 23-Апр-20, 12:20

Лучший критерий - время загрузки первой версии.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

38. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от YetAnotherOnanym (ok), 22-Апр-20, 21:09

> касается других популярных репозиториев
> те же исследователи выявили
> также периодически всплывают
Хы... осталось дождаться, когда эти исследователи доберутся до hex.pm.

Ответить | Правка | Наверх | Cообщить модератору

43. "В RubyGems выявлено 724 вредоносных пакета" +1 +/–

Сообщение от Аноним (43), 23-Апр-20, 01:49

Помнити лифтпад!

Ответить | Правка | Наверх | Cообщить модератору

47. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (47), 23-Апр-20, 11:14

>В RubyGems выявлено 724 вредоносных пакета
Зловещие мертвецы

Ответить | Правка | Наверх | Cообщить модератору

52. "В RubyGems выявлено 724 вредоносных пакета" +/–

Сообщение от Аноним (52), 23-Апр-20, 16:43

Ну частично сами виноваты - надо быть конченым чтобы различать - и _ в названиях пакетов, а вообще вполне ожидаемо от uncurated репозитория - в pypi и npm такие же проблемы. Поэтому их можно рассматривать только как помойки, а ставить пакеты только через родные репозитории системы, где на них хотя бы посмотрели мантейнеры.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В RubyGems выявлено 724 вредоносных пакета"	+11 +/–
Сообщение от Аноним (1), 22-Апр-20, 10:26
Никогда, ни в одном, открытом репозитории не было вредоносных пакетов и вот нате вам опять!
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "В RubyGems выявлено 724 вредоносных пакета"	+8 +/–
	Сообщение от нах. (?), 22-Апр-20, 11:47
	ну, согласись, 700 штук с двух акаунтов - это все же достижение!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "В RubyGems выявлено 724 вредоносных пакета"	+11 +/–
	Сообщение от gogo (?), 22-Апр-20, 14:13
	Для публично открытых на запись "репозиториев" следовало бы придумать другое название, дабы не путать с нормальными репозиториями. Например говнозиторий. Или репоговнорий. Или говноговнорий. Всем бы было понятно.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	28. "В RubyGems выявлено 724 вредоносных пакета"	+12 +/–
	Сообщение от Константавр (ok), 22-Апр-20, 15:08
	crapository - звучит :) продвигай идею в палату мер и весов, мы тебя поддержим :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от Nxx (ok), 23-Апр-20, 12:16
	Тогда уж coprository.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В RubyGems выявлено 724 вредоносных пакета"	–2 +/–
	Сообщение от заминированный тапок (ok), 22-Апр-20, 16:08
	Думать что в закрытом ПО нет вредоносного кода - это как закрыть глаза руками и думать что спрятался и в безопасности Но у проприетарщиков обычно и уровень развития 6-летнего
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	55. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от MadeInRussiaPlus (?), 24-Апр-20, 10:41
	При чем тут закрытый код? Речь про открытые репозитории, неважно, что в них лежит, проприетарной или открытое ПО. Это как сайт без HTTPS, открытый для MITM. Неважно, на чем он написан, ASP.NET или RoR, открыт его код или закрыт. Речь о том, что нужно ужесточать контроль за репозиториями. Например, все так же разрешать загружать любые пакеты, но делать процедуру получения флага "trusted", а пользователи без флага маркировать как требующие особой осторожности со стороны пользователей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от заминированный тапок (ok), 24-Апр-20, 11:22
	приношу извининения, тк я не думал, что существуют настолько открытые репозитории (точнее свалка) и не думал что существуют те, кто таким слепо пользуется не перестают удивлять феноменам современности просто дичь
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "В RubyGems выявлено 724 вредоносных пакета"	+/–
Сообщение от Аноним (1), 22-Апр-20, 10:32
Как хорошо, что не использую софт на руби.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "В RubyGems выявлено 724 вредоносных пакета"	+6 +/–
	Сообщение от Аноним (3), 22-Апр-20, 10:39
	Рад за коллегу, но > проблема не специфична для RubyGems и касается других популярных репозиториев
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В RubyGems выявлено 724 вредоносных пакета"	+4 +/–
	Сообщение от Аноним (1), 22-Апр-20, 10:51
	1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов. 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от JL2001 (ok), 22-Апр-20, 11:37
	> 1. Надо пакеты, без личной OpenPGP подписи разраба, в репы не принимать! оно примерно так и работает фактически > 2. Контролировать каждому и верифицировать OpenPGP ключи хороших разрабов. механизм отличия хороших от плохих в студию (плохих предлагаю скриптом сразу расстреливать) > 3. Тулзы которые грузят что-то с реп должны автоматом проверять подпись OpenPGP. оно так и работает чаще всего (https всякий)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Не примерно надо, а точно!"	–1 +/–
	Сообщение от Аноним (21), 22-Апр-20, 12:59
	1. Идентификация пакетов в репозитории строго по подписи OpenPGP ключа. 2. Строгая верификация публичных OpenPGP ключей пользователей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 Скрипт для отстрела левых пакетов в репозитории: Создаем список публичных ключей не прошедших проверку: gpg --check-trustdb Удаляем все пакеты с репозитория без подписи или подписанные ключами не прошедшими проверку. 3. Каждый пользователь репозитория должен у себя поддерживать, периодически проверять, публичные ключи разрабов пакетов и по них верифицировать скачанные с репозитория пакеты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Не примерно надо, а точно!"	+2 +/–
	Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:16
	Да подпись тут -- инструмент, вопрос в доверии к ней (и подписавшему). Это задачка на репутацию, а не на криптуху.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Задача именно на криптуху."	+/–
	Сообщение от Аноним (45), 23-Апр-20, 06:19
	gpg --check-trustdb Дает возможность верифицировать базу публичных ключей. Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а 5 подписей. Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже 3 подписей. Репутация здесь больше о корректности работы с ключиками. Если небрежно относится к хранению приватных ключей и подписывать левые публичные ключи, то создаются проблемы. Придется добавлять blacklist с плохими пользователями ключей и не учитывать их подписи при верификации. Если команда длительное время развивает проект и сама его использует, то вероятность внедрения закладок низкая. Когда забежал и сразу пару сот проектов в репу загнал, а публичный ключ его никто не подписал, то это наверняка зловреды и отсутствие подписей публичного ключа значительно притормозил их распространение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Задача именно на криптуху."	+/–
	Сообщение от JL2001 (ok), 24-Апр-20, 13:07
	> gpg --check-trustdb > Дает возможность верифицировать базу публичных ключей. > Можно в настройках потребовать чтобы каждый публичный ключ имел не 3, а > 5 подписей. > Эти 2 экаунта, что 700 зловредов запостили точно не собрали бы даже > 3 подписей. и что же им помешает набрать подписи???
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Не примерно надо, а точно!"	+/–
	Сообщение от microsoft (?), 22-Апр-20, 19:17
	А говнокодомакаки как костылили с использованием левых модулей, так и будут дале
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	46. "Не примерно надо, а точно!"	+/–
	Сообщение от Аноним (45), 23-Апр-20, 06:30
	Хочется M$ монопольнои контролировать верификацию пакетов в GNU/Linux? Сколько будете со счета списывать за загрузку GNU/Linux? https://www.opennet.ru/openforum/vsluhforumID3/120270.html#190
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от Аноним (3), 22-Апр-20, 11:56
	Хорошие разработчики тоже используют инструментарий. SDK к примеру и вообще чужой код, в том числе открытый. Но https://www.computerra.ru/261789/kak-prilozheniya-shpionyat-.../ И как нам, хорошим, быть?
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	23. "В RubyGems выявлено 724 вредоносных пакета"	+3 +/–
	Сообщение от funny.falcon (?), 22-Апр-20, 13:16
	Так ведь НЕ БЫЛИ скомпроментированы существующие пакеты. Злоумышленники создали НОВЫЕ пакеты от СВОЕГО имени. Просто имена подобрали подходящие на существующие: если кто-то опечатается, или в поиске выберет не тот, то попадётся.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	9. "В RubyGems выявлено 724 вредоносных пакета"	+7 +/–
	Сообщение от Аноним (9), 22-Апр-20, 10:53
	Да на Node.js тебе ничего не угрожает.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	22. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
	Сообщение от Аноним (21), 22-Апр-20, 13:01
	И JS тоже нигде не использую, даже dbus & polkitd не устанавливаю.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "В RubyGems выявлено 724 вредоносных пакета"	+/–
Сообщение от КО (?), 22-Апр-20, 10:40
В зависимости подставить можно? Если нет - то тут уж у кого глаз острее
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
Сообщение от Аноним (5), 22-Апр-20, 10:40
а сколько их в нпм...
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
	Сообщение от Аноним (7), 22-Апр-20, 10:48
	NPM всего-то в 100+ раз больше размером
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
	Сообщение от Michael Shigorin (ok), 22-Апр-20, 14:17
	Гусары, молчать!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
	Сообщение от Lex (??), 23-Апр-20, 01:18
	Низабудим про лифтпад!!111
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	54. "В RubyGems выявлено 724 вредоносных пакета"	+1 +/–
	Сообщение от Аноним84701 (ok), 23-Апр-20, 17:47
	> NPM всего-то в 100+ раз больше размером И за RubyGems стоит компания Ruby Inc, у которой репа и все с ней связанное - основная часть бизнеса? Или опять сравнивается мягкое и фиолетовое?
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	10. "В RubyGems выявлено 724 вредоносных пакета"	+/–
	Сообщение от Аноним (9), 22-Апр-20, 10:54
	Там даже целенаправленный зловредный код может быть опасен.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

6. "В RubyGems выявлено 724 вредоносных пакета"	+/–
Сообщение от Аноним (7), 22-Апр-20, 10:46
Если я правильно посмотрел, то в rubygems всего 10620 пакетов. 724 от этих 10620 это почти 7%.
Ответить \| Правка \| Наверх \| Cообщить модератору