Комментарии 5
Выводы.
1. Не используйте Windows для разработки на Питоне. И не только из-за дырявости, но и прочих танцев с бубном вроде локального докера.
2. Никогда не программируйте под рутом/админом. Большая часть функциональности вирусов перестанет работать.
3. Если и использовать инструменты типа PyPi, то исключительно в изолированных окружениях. Никаких глобальных установок на машину.
Ничто из предложенного не является панацеей. Этот горе-вирус рассчитан на Windows, другой, например, будет рассчитан на Linux.
Без рута/админа но под основным рабочим пользователем у вируса, скорее всего, будет возможность стащить печеньки с паролями/сессиями из браузера, ключи из ~/.ssh, зашифровать вашу коллекцию котиков и пет-проекты, поучаствовать в ддосе или майнинге.
Вызов pip install сам по себе равнозначен выполнению произвольного кода от автора пакета, и был ли этот pip системным или из virtualenv после запуска уже не будет иметь значения. Если под изолированным окружением вы имеете в виду изолированную от файловой системы и сети виртуалку или контейнер — то это отлично организуется и на Windows.
Горе-вирус, ей богу...
очень похоже, что троян был создан с помощью копипаста и не очень здорового ума. Чего в этом коде только нет, даже змейка (игра) с Github.
В нынешние времена у меня на это первая реакция - "а его точно писал живой разработчик, а не GPT?"
Если это реально написала чатГПТ, то возникает вопрос к разработчикам, которые добавили боту ограничения на неоскорбление темных личностей и тд, но забыли добавить ограничение на ненаписание вредоносного кода.
Хотя скорее всего этот вирус написал какой то начинающий хакер, изучивший питон за пару недель по видосам с ютуба и накопипастивший код с гитхаба и стаковерфлоу толком не понимая что он копипастит, лишь бы работало.
О новой угрозе для Python разработчиков в 2023 году или ещё один вирус в пакете PyPi