Comments 5
Осталось подождать пока какой-то новый хакер узнает про невидимые Unicode-символы и появятся пакеты с именами типа requestsㅤ
(Хабр может не показывать, но в конце есть невидимый символ \u3164, который относится к разряду букв).
Даже визуально просматривая каждую строчку кода, невозможно это будет найти.
0
Я не проверял, но вроде как нельзя не ASCII символы в именах пакетов: https://peps.python.org/pep-0508/#names
+1
Впервые о путанице зависимостей сообщил в 2021 году
А можно я похвалю сам себя — я предвидел подобный вид атак ещё в 2018 году) https://ru.stackoverflow.com/questions/882086
+6
Sign up to leave a comment.
PyTorch разоблачил вредоносную цепочку зависимостей