Вредоносные пакеты способны похищать учетные данные AWS и другую конфиденциальную информацию.
Простая опечатка в коде может привести к утечке данных и захвату устройства
Вредоносные пакеты также устанавливали оболочки удаленного доступа на компьютерных системах.
Самым востребованным языком разработки у работодателей стал Python.
С момента взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.
Два пакета позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы.
Web-страницы поддельных пакетов содержат ссылки на стриминговые сайты с пиратским контентом.
Вредоносные пакеты маскировались под другие более популярные библиотеки с помощью техники typosquatting.
Компании, не осуществившие переход с Python 2.x на Python 3, может постигнуть участь Equifax или жертв WannaCry.
Проблема затрагивает версии NumPy с 1.10 по 1.16.
По мнению одного из разработчиков, термины являются неполиткорректными.
Эксперт представил метод атаки, эксплуатирующий файл setup.py в модулях Python для запуска кода при установке пакета.
Исследователи модифицировали библиотеку PyCrypto таким образом, чтобы заранее выявлять проблемы и предоставлять рекомендации по их исправлению.
При обнаружении уязвимой библиотеки, рядом с ней будет отображаться предупреждение «Известная уязвимость системы безопасности».
В будущих версиях Python могут появиться два новых API, позволяющих инструментам безопасности обнаруживать потенциально опасные операции.
Уязвимости в языках программирования представляют угрозу безопасности создаваемых с их помощью программ.
Злоумышленники загрузили вредоносные библиотеки, собиравшие информацию о пользователях.
Разработчики Python устранили публично известную DoS уязвимость, в своем продукте.
Исследователи из Технологического института Джорджии (США) разработали инструмент под названием Collage, который позволит интернет-диссидентам вставлять скрытые сообщения в Twitter-посты и Flickr-фотографии, чтобы обойти цензуру и обмануть репрессивные правительства.