Python Community | Telegram Webview: Python_Community_ru/2637 -

Telegram Group & Telegram Channel

Python Community

🚨 Атака на PyPI, npm и RubyGems: сотни вредоносных пакетов в официальных реестрах

🔍 Исследователи обнаружили массовую кампанию по размещению вредоносных библиотек в популярных экосистемах:

🧪 Что произошло:
• На npm опубликованы фейковые версии библиотек вроде Hardhat, крадущие приватные ключи и .env
• В PyPI появились клоны requests, urllib3 и др., с вредоносными вставками
• В RubyGems — более 700 пакетов, использующих тайпосквоттинг (`activesupportt`, httpartyy и т.д.)

🎯 Цель — разработчики. Пакеты собирают:
– мнемоники
– приватные ключи
– конфиги AWS/GCP
– системную информацию

🛡 Что делать:
– Проверяй названия пакетов (тайпосквоттинг — главный приём)
– Запускай pip audit, npm audit, bundler audit
– Используй виртуальные окружения и минимум прав
– Подпиши зависимости, где это возможно (например, через Sigstore)

📌 Подробнее (https://thehackernews.com/2025/06/malicious-pypi-npm-and-ruby-packages.htm)

@Python_Community_ru

www.tg-me.com/tr/Python Community/com.Python_Community_ru/2637

941 viewsJun 5 at 20:11

tg-me.com/Python_Community_ru/2637

Create: 2025-06-05
Last Update: 2025-06-14 05:31:26

🚨 Атака на PyPI, npm и RubyGems: сотни вредоносных пакетов в официальных реестрах

🔍 Исследователи обнаружили массовую кампанию по размещению вредоносных библиотек в популярных экосистемах:

🧪 Что произошло:
• На npm опубликованы фейковые версии библиотек вроде Hardhat, крадущие приватные ключи и .env
• В PyPI появились клоны requests, urllib3 и др., с вредоносными вставками
• В RubyGems — более 700 пакетов, использующих тайпосквоттинг (`activesupportt`, httpartyy и т.д.)

🎯 Цель — разработчики. Пакеты собирают:
– мнемоники
– приватные ключи
– конфиги AWS/GCP
– системную информацию

🛡 Что делать:
– Проверяй названия пакетов (тайпосквоттинг — главный приём)
– Запускай pip audit, npm audit, bundler audit
– Используй виртуальные окружения и минимум прав
– Подпиши зависимости, где это возможно (например, через Sigstore)

📌 Подробнее (https://thehackernews.com/2025/06/malicious-pypi-npm-and-ruby-packages.htm)

@Python_Community_ru

BY Python Community

Share with your friend now:
tg-me.com/Python_Community_ru/2637

Open in Telegram

Python Community Telegram | DID YOU KNOW?

Date: 2025-06-14| Python Community

A project of our size needs at least a few hundred million dollars per year to keep going,” Mr. Durov wrote in his public channel on Telegram late last year. “While doing that, we will remain independent and stay true to our values, redefining how a tech company should operate.

What is Telegram?

Telegram’s stand out feature is its encryption scheme that keeps messages and media secure in transit. The scheme is known as MTProto and is based on 256-bit AES encryption, RSA encryption, and Diffie-Hellman key exchange. The result of this complicated and technical-sounding jargon? A messaging service that claims to keep your data safe.Why do we say claims? When dealing with security, you always want to leave room for scrutiny, and a few cryptography experts have criticized the system. Overall, any level of encryption is better than none, but a level of discretion should always be observed with any online connected system, even Telegram.

Python Community from tr

Telegram Python Community
FROM USA