5 คะแนน โดย xguru 2021-08-04 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ทีมวิจัยความปลอดภัยของ JFrog ค้นพบแพ็กเกจอันตรายหลายตัว และได้รายงานให้ PyPI จนถูกลบออกเรียบร้อยแล้ว

→ noblesse, genesisbot, aryi, suffer, pytagora..

→ โค้ดที่ขโมยโทเค็น Discord, ข้อมูลบัตรเครดิต และข้อมูลระบบ

  • พบว่าแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วราว 30,000 ครั้ง

  • มีการวิเคราะห์เชิงเทคนิคว่าขโมยข้อมูลอย่างไร

  • ช่วงนี้ npm, PyPI, RubyGems กำลังถูกโจมตีด้วยมัลแวร์ จึงควรระมัดระวัง

1 ความคิดเห็น

 
kbumsik 2021-08-04

ก่อนหน้านี้มีประเด็นถกเถียงเรื่องแพ็กเกจแบบนั้นบน NPM อยู่มาก แต่ดูท่าว่า Python เองก็ไม่ได้ปลอดภัยเช่นกัน