skillfactory_school Jan 10 2023 at 23:39

PyTorch разоблачил вредоносную цепочку зависимостей

6 min

8.4K

Skillfactory corporate blogInformation Security*Python*Machine learning*

Case

Translation

Comments 5

baldr Jan 11 2023 at 00:22

Осталось подождать пока какой-то новый хакер узнает про невидимые Unicode-символы и появятся пакеты с именами типа requestsㅤ (Хабр может не показывать, но в конце есть невидимый символ \u3164, который относится к разряду букв).

Даже визуально просматривая каждую строчку кода, невозможно это будет найти.

Vadem Jan 11 2023 at 00:31

Я не проверял, но вроде как нельзя не ASCII символы в именах пакетов: https://peps.python.org/pep-0508/#names

baldr Jan 11 2023 at 00:40

Спасибо, действительно, pip не хочет такое устанавливать. Не могу сказать про pyenv и прочие poetry.

andreymal Jan 11 2023 at 01:54

Впервые о путанице зависимостей сообщил в 2021 году

А можно я похвалю сам себя — я предвидел подобный вид атак ещё в 2018 году) https://ru.stackoverflow.com/questions/882086

domix32 Jan 11 2023 at 19:18

Как-то так в расте публикуемые крейты подписываются. Вероятно какой-то механизм подписей должен был существовать и у колёс