О новой угрозе для Python разработчиков в 2023 году или ещё один вирус в пакете PyPi

[Samhuawei]

Выводы.

1. Не используйте Windows для разработки на Питоне. И не только из-за дырявости, но и прочих танцев с бубном вроде локального докера.

2. Никогда не программируйте под рутом/админом. Большая часть функциональности вирусов перестанет работать.

3. Если и использовать инструменты типа PyPi, то исключительно в изолированных окружениях. Никаких глобальных установок на машину.

[9982th]

Ничто из предложенного не является панацеей. Этот горе-вирус рассчитан на Windows, другой, например, будет рассчитан на Linux.

Без рута/админа но под основным рабочим пользователем у вируса, скорее всего, будет возможность стащить печеньки с паролями/сессиями из браузера, ключи из ~/.ssh, зашифровать вашу коллекцию котиков и пет-проекты, поучаствовать в ддосе или майнинге.

Вызов pip install сам по себе равнозначен выполнению произвольного кода от автора пакета, и был ли этот pip системным или из virtualenv после запуска уже не будет иметь значения. Если под изолированным окружением вы имеете в виду изолированную от файловой системы и сети виртуалку или контейнер — то это отлично организуется и на Windows.

[HemulGM]

Горе-вирус, ей богу...

[Cerberuser]

очень похоже, что троян был создан с помощью копипаста и не очень здорового ума. Чего в этом коде только нет, даже змейка (игра) с Github.

В нынешние времена у меня на это первая реакция - "а его точно писал живой разработчик, а не GPT?"

[Val_SA]

Если это реально написала чатГПТ, то возникает вопрос к разработчикам, которые добавили боту ограничения на неоскорбление темных личностей и тд, но забыли добавить ограничение на ненаписание вредоносного кода.

Хотя скорее всего этот вирус написал какой то начинающий хакер, изучивший питон за пару недель по видосам с ютуба и накопипастивший код с гитхаба и стаковерфлоу толком не понимая что он копипастит, лишь бы работало.