タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
これら3つのパッケージ(「libpeshnx」「libpesh」「libari」)は、同じユーザー(名前はruri12)によって作成されており、2017年11月以降、20カ月近くにわたってPyPIからダウンロード可能な状態にあった。2019年7月に入って、これらのパッケージは、ReversingLabsのセキュリティ研究者らによって発見された。 ReversingLabsは7月9日、PyPIのリポジトリメンテナーに通報し、PyPIのセキュリティチームはその日のうちにこれらのパッケージを削除した。 どのパッケージにも説明が記載されておらず、目的を特定するのは不可能だ。しかしPyPIの統計を見ると、これらのパッケージは定期的にダウンロードされており、それぞれが毎月何十回もインストールされていることが分かる。 悪意あるコードは、Linuxシステムにインストールされたときにのみ動きのある単純なバッ
PyPIにおける潜在的な任意コード実行
はじめに(English version is also available.) PyPIは、セキュリティページ自体は公開しているものの、脆弱性診断行為に対する明確なポリシーを設けていません。1 本記事は、公開されている情報を元に脆弱性の存在を推測し、実際に検証することなく潜在的な脆弱性として報告した問題に関して説明したものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 PyPIに脆弱性を発見した場合は、Reporting a security issueページを参考に、[email protected]へ報告してください。 要約PyPIのソースコードを管理しているリポジトリのGitHub Actions上において、悪意あるプルリクエストが任意のコマンドを実行する事が可能な脆弱性が存在した。 これにより、当該のリポジトリに対して書き込み権限を得ることができ、結果
Sonatypeは6月23日(米国時間)、「Python packages upload your AWS keys, env vars, secrets to the web」において、PyPI (Python Package Index)リポジトリからAWSのクレデンシャルを窃取する複数のPytonパッケージが発見されたと伝えた。見つかったPythonパッケージはさらに収集した情報をリモートエンドホストにエクスポートし、一般に公開していたという。 Python packages upload your AWS keys, env vars, secrets to the web Sonatypeの分析により、PyPIリポジトリに複数の悪意のあるPythonパッケージがあることが明らかとなった。PyPIはPythonユーザ向けのサードパーティソフトウェアリポジトリ。PyPIリポジトリより
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。 PyPI Suspends New Registrations After Malicious Python Script Attack 特定された44の不正なPyPIパッケージは次のとおり。 sys-scikit-learn 17.8.18 sqlalchemy-requests 7.1.1 sqlalc
Phylumはこのほど、「Phylum Discovers Revived Crypto Wallet Address Replacement Attack」において、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されていることを伝えた。タイポスクワッティングによるサイバー攻撃とされ、クリッパーマルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されていることが明らかとなった。 タイポスクワッティングとは、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用して、攻撃者が用意した不正なWebサイトへ誘導する攻撃手法。 Phylum Discovers Revived Crypto Wallet Address Replacement Attack Phylumにより発見された
SSH keys stolen by stream of malicious PyPI and npm packages
A stream of malicious npm and PyPi packages have been found stealing a wide range of sensitive data from software developers on the platforms. The campaign started on September 12, 2023, and was first discovered by Sonatype, whose analysts unearthed 14 malicious packages on npm. Phylum reports that after a brief operational hiatus on September 16 and 17, the attack has resumed and expanded to the
poetryを利用した動的なバージョン管理とGitHub ActionsによるPyPIへのrelease - Stimulator
はじめに この記事を読んで出来る事 poetryによる外部モジュールバージョン管理 poetry-dynamic-versioningによる動的なバージョン付与 GitHub Actionsを利用したPython周りの基本的なCI/CD設定 GitHubのReleaseタグ付与をTriggerとしたPyPIへのアップロード 今後私がPythonで何かライブラリ作ろうと思ったらこれを実施するぞというメモです はじめに poetryによるモジュールバージョン管理 PyPIへのアップロード GitHab Actionsを用いたCI/CD その他GitHubでやること 参考 poetryによるモジュールバージョン管理 バージョンをGitHubのタグで管理したい事の方が多いはず。 setup.pyを利用する場合は、一般的にsetuptools_scmを使うが、poetryはsetup.pyのようにb
PythonパッケージのアップロードプラットフォームであるPython Package Index(PyPI)を運営するPython Software Foundation(PSF)が、2023年3月から4月にかけて、アメリカ司法省からユーザーデータを要求する召喚状を3回発行されたことを明らかにしました。PSFはこの召喚状に関連する法的状況について説明を受けていないにもかかわらず、合計で5人のPyPIユーザーのデータを要求されたと述べています。 PyPI was subpoenaed - The Python Package Index https://blog.pypi.org/posts/2023-05-24-pypi-was-subpoenaed/ PyPIはPythonのパッケージをアップロードできるプラットフォームで、PyPIに登録されたパッケージは「pip install」のコ
Phylum Discovers Dozens More PyPI Packages Attempting to Deliver W4SP Stealer in Ongoing Supply-Chain Attack
Phylum Discovers Dozens More PyPI Packages Attempting to Deliver W4SP Stealer in Ongoing Supply-Chain Attack Last week, our automated risk detection platform alerted us to some suspicious activity in dozens of newly published PyPI packages. It appears that these packages are a more sophisticated attempt to deliver the W4SP Stealer on to Python developer’s machines by hiding a malicious __import__
プログラミング言語「Python」のリポジトリである「Python Package Index(PyPI)」の20以上のパッケージに、情報を盗むマルウェア「W4SP」が含まれていることが分かりました。 Phylum Discovers Dozens More PyPI Packages Attempting to Deliver W4SP Stealer in Ongoing Supply-Chain Attack https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack セキュリティ企業のPhylumによると、新たに公開された数十のPyPIパッケージの中に、Python開発者のマシンに
Infosys leaked FullAdminAccess AWS keys on PyPi for over a year
Infosys leaked FullAdminAccess AWS keys on PyPi for over a year You can check out their website for a lot of buzwords, but it’s clear from all the stock photos that they take security Very Seriously Indeed ™️. However, from what I’ve found recently, it seems that Infosys use the following Comprehensive Management-Endorsed Proficiently Driven Cybersecurity Strategy and Framework items: Don’t use AW
Python Insider: Use two-factor auth to improve your PyPI account's security
To increase the security of Python package downloads, we're beginning to introduce two-factor authentication (2FA) as a login security option on the Python Package Index. This is thanks to a grant from the Open Technology Fund; coordinated by the Packaging Working Group of the Python Software Foundation. Starting today, the canonical Python Package Index at PyPI.org and the test site at test.pypi.
Different security issues are a common problem for open source packages archived to and delivered through software ecosystems. These often manifest themselves as software weaknesses that may lead to concrete software vulnerabilities. This paper examines various security issues in Python packages with static analysis. The dataset is based on a snapshot of all packages stored to the Python Package I
PyPI で公開されているパッケージの半数近くが何らかのセキュリティ上の問題を含むとの調査結果 | スラド セキュリティ
Python パッケージの公式リポジトリ PyPI で公開されているパッケージの半数近くに何らかのセキュリティ上の問題が含まれるとの調査結果が発表された(The Register の記事、 論文)。 対象は PyPI に保存されている全パッケージ 19 万 7 千件以上のスナップショットで、静的コード解析ツール Bandit を用いて調査している。セキュリティ上の問題は exec 関数の使用やパスワードのハードコードといったものから、セキュアでない例外処理やハッシュ関数の使用、SQL インジェクションや XSS が可能といったものまで幅広い。調査の結果、約 75 万件の問題が見つかり、46 % のパッケージが少なくとも 1 つの問題を含んでいたとのこと。 ただし、見つかった問題の半数以上を占める約 44 万件は深刻度の低いものであり、約 23 万件が深刻度中、約 8 万件が深刻度高に分類さ
はじめに Pythonのパッケージ管理ツールとして提供されている pip (Python Installs Packages)ですが、こちらこちらはPython3.4およびPython2.7.9以降でデフォルトで付属するようになりました。 pip を使うことで、初心者であっても簡単にパッケージのインストールを行えます。 この文章の対象 比較的Python歴の浅い方をイメージして記載します。 事の始まり 12/16, 22:30JST頃にパッケージの検索をしようとしたら、下記のようにRuntime errorが出ました。 $ pip search numpy ERROR: Exception: Traceback (most recent call last): File "/Users/montblanc18/.pyenv/versions/3.7.6/lib/python3.7/site
Ee Durbin PyPI Admin, Director of Infrastructure (PSF) In March and April 2023, the Python Software Foundation (PSF) received three (3) subpoenas for PyPI user data. All three subpoenas were issued by the United States Department of Justice. The PSF was not provided with context on the legal circumstances surrounding these subpoenas. In total, user data related to five (5) PyPI usernames were requ
Pythonコミュニティは5月25日(現地時間)、「Securing PyPI accounts via Two-Factor Authentication - The Python Package Index」において、2023年末までにPyPI (Python Package Index)でプロジェクトや組織を管理しているすべてのユーザーに対し、2023年末までに二要素認証(2FA: Two-Factor Authentication)を有効化するように求めると伝えた。相次ぐセキュリティインシデントへの対応とされている。 Securing PyPI accounts via Two-Factor Authentication - The Python Package Index PyPIはPython開発者が利用するライブラリやモジュールを提供するリポジトリであり、多くのユーザーが利用
Python Package Index(PyPI)は、2023年末から全てのアカウントに対して二要素認証を義務付ける予定だ。近年、オープンソースソフトウェアのリポジトリを標的としたサイバー攻撃が目立っており、今回の対処はアカウントを乗っ取る攻撃を防ぐ意図がある。 プログラミング言語「Python」のサードパーティーソフトウェアリポジトリである「Python Package Index」(以下、PyPI)は2023年5月25日(注1)、同年末からWebサイト上でプロジェクトまたは組織を管理する全てのアカウントに二要素認証を義務付けると発表した。 Pythonは広く使われているプログラミング言語の一つだ。この義務化は、過去にPyPIユーザーを危険にさらしたアカウント乗っ取りを防ぐ目的がある。 2023年末にかけて、PyPIは二要素認証の使用に基づいて特定のWebサイト機能へのアクセスを制限す
I scanned every package on PyPi and found 57 live AWS keysJanuary 06, 2023 projects security After inadvertently finding that InfoSys leaked an AWS key on PyPi I wanted to know how many other live AWS keys may be present on Python package index. After scanning every release published to PyPi I found 57 valid access keys from organisations like: Amazon themselves 😅IntelStanford, Portland and Louis
poetryで開発からpypiにpublishするまで
poetryを使ったパッケージ開発から公開までの備忘録です。 pypiのアカウント設定等については触れていません。末尾の参考サイトを参照してください。 新規作成 poetry new --src project_name cd project_name poetry install pycharm . # vscodeの場合 # code . これで新規のプロジェクトがpycharmで開くので、以下はpycharm内のターミナルで実行。 基本設定 ターミナル 依存パッケージの追加 git init README, LICENSE, gitignoreの作成 poetry add -D pytest-watch pytest-mock pytest-cov poetry shell mv README.rst README.md # git init -> デフォルトのブランチ名をdevにす
指定した領域のラスタータイルをダウンロードしたりGeoTIFFに変換してくれるPythonパッケージをPyPIで公開しました! - Qiita
CLIツールとしても利用できますが、多少めんどくさい設定が必要になります CLIとして利用するための準備 CLIとして利用する場合にはこちらからSource code(zip)をクリックしてコード一式をダウンロードしてください。 その後、zipを解凍し、ターミナルなどを利用してtile-operatorディレクトリの中に入ってください。 $ cd ~/Downloads/tile-operator-0.0.6 $ ls -al total 224 drwxrwxr-x@ 10 satoru staff 320 12 17 16:11 ./ drwx------@ 9 satoru staff 288 12 17 21:44 ../ -rw-rw-r--@ 1 satoru staff 3277 12 17 16:11 .gitignore -rw-rw-r--@ 1 satoru staf
Open source 'Package Analysis' tool finds malicious npm, PyPI packages
HomeNewsSecurityOpen source 'Package Analysis' tool finds malicious npm, PyPI packages The Open Source Security Foundation (OpenSSF), a Linux Foundation-backed initiative has released its first prototype version of the 'Package Analysis' tool that aims to catch and counter malicious attacks on open source registries. In a pilot run that lasted less than a month, the open source project released on
Phylumはこのほど、「A Deep Dive Into poweRAT: a Newly Discovered Stealer/RAT Combo Polluting PyPI」において、PyPI (Python Package Index)ユーザーに対して行われたマルウェアキャンペーンを発見したと伝えた。開発者のシステムに情報窃取を行うマルウェアを展開する6つの悪意のあるパッケージがPyPIリポジトリに配置されていたことが明らかとなった。 A Deep Dive Into poweRAT: a Newly Discovered Stealer/RAT Combo Polluting PyPI Phylumの調査により、2022年12月22日から12月31日にかけて、悪意のあるPyPIパッケージがPyPIリポジトリに配置されたことがわかった。発見された悪意のあるPyPIパッケージは次の
Malicious PyPI package opens backdoors on Windows, Linux, and Macs
HomeNewsSecurityMalicious PyPI package opens backdoors on Windows, Linux, and Macs Yet another malicious Python package has been spotted in the PyPI registry performing supply chain attacks to drop Cobalt Strike beacons and backdoors on Windows, Linux, and macOS systems. PyPI is a repository of open-source packages that developers can use to share their work or benefit from the work of others, dow
PyPI XMLRPC Search Disabled
We are now at 100 days since the decision to disable the XMLRPC search endpoint. Traffic to the endpoint has not subsided in any substantial way and we have not heard from any of the parties who continue to issue hundreds of thousands of search calls per hour. As such, XMLRPC search will be permanently disabled. The XMLRPC Search endpoint remains disabled due to ongoing request volume. As of this
JPCERT/CCでは、攻撃グループLazarusが不正なPythonパッケージを公式PythonパッケージリポジトリーであるPyPIに公開していることを確認しました(図1)。今回確認したPythonパッケージは以下のとおりです。 pycryptoenv pycryptoconf quasarlib swapmempool pycryptoenvやpycryptoconfは、Pythonで暗号化アルゴリズムを使う際に用いられるPythonパッケージpycryptoに類似したパッケージ名になっており、攻撃者は、ユーザーが同名のパッケージをインストールする際のタイポを狙って、マルウェアを含む不正なパッケージを準備していたと考えられます。 今回は、この不正なPythonパッケージの詳細について紹介します。 図1: 攻撃グループLazarusが公開していたPythonパッケージ 不正なPython
Ee Durbin PyPI Admin, Director of Infrastructure (PSF) Today, we're excited to launch blog.pypi.org, the official blog of the Python Package Index. One of the most common refrains I hear from Python community members, irrespective of if they have been around for days or years, is "I didn't realize that PyPI...". Followed by something along the lines of: Could do that Is operated with so few resour
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community. Pick a username Email Address Password Sign up for GitHub By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails. Already on GitHub? Sign in to your account
11 Malicious PyPI Python Libraries Caught Stealing Discord Tokens and Installing Shells
Cybersecurity researchers have uncovered as many as 11 malicious Python packages that have been cumulatively downloaded more than 41,000 times from the Python Package Index (PyPI) repository, and could be exploited to steal Discord access tokens, passwords, and even stage dependency confusion attacks. The Python packages have since been removed from the repository following responsible disclosure
Checkmarxは12月14日(米国時間)、「How 140k NuGet, NPM, and PyPi Packages Were Used to Spread Phishing Links|Checkmarx.com」において、NuGet、NPM、PyPIのエコシステムで重大な異常が発見されたと伝えた。この異常はCheckmarxとIllustriaの共同研究によって発見されたと報告されている。 How 140k NuGet, NPM, and PyPi Packages Were Used to Spread Phishing Links|Checkmarx.com CheckmarxとIllustriaの共同研究によって判明したNuGet、NPM、PyPIの主な異常の概要は次のとおり。 NuGet、NPM、PyPIに14万4000以上の悪意のあるパッケージが同じ脅威者によって作成
Investigating a backdoored PyPi package targeting FastAPI applications | Datadog Security Labs
Introduction FastAPI is a highly popular Python web framework. On November 23rd, 2022, the Datadog Security Labs team identified a third-party utility Python package on PyPI related to FastAPI, fastapi-toolkit, that has been backdoored by a malicious actor. The attacker inserted a backdoor in the package, adding a FastAPI route allowing a remote attacker to execute arbitrary python code and SQL qu
PyPI Download Stats
Analytics for PyPI packages Package: Search among 470,913 python packages from PyPI (updated daily).
Kaspersky Labは8月16日(現地時間)、「Two more malicious Python packages in the PyPI | Securelist」において、Pythonの公式サードパーティ製ソフトウェアリポジトリに2つの悪意のあるPythonパッケージを発見したと伝えた。社内の自動化システムを使用してPyPI (Python Package Index)リポジトリを調査したところ、これらを見つけたと説明している。 Two more malicious Python packages in the PyPI | Securelist 悪意のあるパッケージは「pyquest」および「ultrarequests」と名付けられており、人気のあるパッケージの一つとされている「requests」を装っていたことがわかった。攻撃者は、被害者をだましてこれらのパッケージをインス
ReversingLabsはこのほど、「When byte code bites: Who checks the contents of compiled Python files?」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージがあったと伝えた。ReversingLabsは、コンパイルされたPythonコードを悪用して、セキュリティツールの検出を回避する新たな攻撃を発見したと説明している。 When byte code bites: Who checks the contents of compiled Python files? 2023年4月17日に「fshec2」という名前のパッケージが発見された。fshec2には"_init_.py"、"main.py"、"full.pyc"という3つのファイルしか含まれておらず、コンパイル済みの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
悪意ある「Python」ライブラリーがPyPIで発見される--研究者が報告
PyPIからAWS認証情報を窃取するPythonパッケージが複数見つかる
不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
450超の悪意あるPyPIパッケージを発見、Python開発者の暗号資産が標的
Pythonパッケージを管理するPyPIがユーザーのデータをアメリカ司法省に開示したことを明らかに
開発者をターゲットにしたマルウェア「W4SP」がPyPIの悪意あるパッケージに仕込まれていることが明らかに
A Large-Scale Security-Oriented Static Analysis of Python Packages in PyPI
PyPIのsearch APIが落ちているのでpipのコードを読んでみる - Qiita
PyPI was subpoenaed - The Python Package Index Blog
Python、2023年末までに「PyPI」で2要素認証を要求
PyPIが二要素認証を義務付け OSSのリポジトリへの攻撃が相次ぐ
I scanned every package on PyPi and found 57 live AWS keys
PyPIユーザー狙うサイバー攻撃、インストールするだけでマルウェア感染
PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 - JPCERT/CC Eyes
Welcome to the PyPI Blog - The Python Package Index Blog
publish v2 to PyPI · Issue #4947 · aws/aws-cli
14万の悪意のあるパッケージがNuGet・NPM・PyPIに、開発者はリストの確認を
人気高いPythonパッケージに見せかけた偽パッケージをPyPIで発見、確認と対応を
悪意あるPython コードを用いたPyPIに対する新しい攻撃、発覚
comic-days.com
clearbluejp.com
yasashiiijiwaru.com
yasashiiijiwaru.com
yasashiiijiwaru.com
www.kadokawa.co.jp