Národný bezpečnostný úrad (Slovensko) vydal varování před podvrženými knihovnami v PyPI. Několik knihoven se „dočkalo“ kopií, jež mají podobné jméno a nabídnou veškerou funkčnost původní knihovny, ale v instalaci je obsažen i malware, který posílá informace na adresu http://121.42.217.44:8080/.
Možná záměna je například u urlib3/urllib (→ urllib3), django-server (→ django-server-guardian-api), bzip (→ bz2file), či crypt (→ crypto) a dalších.
Vypada to na nejake testovanie, za ako dlho sa da nejaka lotrovina odhalit (adresa je kdesi z Ciny). Zrejme bude treba definovat nejake kontrolne a verifikacne mechanizmy pre PyPI (a ine podobne distribucne kanaly), aby nedoslo k tomu, ze nejaky puko stiahne daco, doplni si tam nejaku prasaren a nahra to nazad.
<quote>Vypada to na nejake testovanie, za ako dlho sa da nejaka lotrovina odhalit (adresa je kdesi z Ciny)</quote>
To je len zasterka pre naivnych. Hlasilo to username + hostname + verejnu IP, takze keby sa cinanovi v logoch objavilo nieco zaujimave, tak by asi aktualizoval svoj balik. Zaujimave mozu byt gov, banky, internetovi giganti a dalsi.
To sa mi nezdá, tie fake baliky použili asi len tí, čo zrovna začali s niečím novým a nechali sa oblafnúť názvom, pokiaľ už niekto používa nejakú pôvodnú knižnicu - z minulosti, tak sa k tomu vlastne dostane len vtedy, ak si to naťahá natvrdo ručne (poskúšať a pod.). Ten čínsky web je inak ďalej živý a pripadá mi to skôr na dielo nejakého sopliaka, čo prišiel na to, že na PyPI sa dá (resp. dalo) uploadnúť kde-čo, ako na nejakú serióznu akciu. Pokiaľ by chcel ucapkať naozaj dačo poriadne, tak si vyrobí dobre zamaskovanú nejakú dieru do knižnice, ktorá má bežať kdesi pod rootom, takto tam má len dáke info, čo posiela každý druhý program pod Win (vrátane)...
Ja som kupil webkameru z aliexpress.com, a potom asi o mesiac kukam na logy z wifi routru, a ta kamera si otvorila 2 uPnP porty na tom routri, a okrem toho cez UDP posielala nejake data na ip adresu do Shanghaja. Okrem toho mala pridelene dve IP adresy v domacej siete (cez DHCP) z nejakeho dovodu , nejaky virtualny interface musela mat este nakonfigurovany.
teda vlastne 3 upnp porty, ak by to niekoho zajimalo :
udp unreplied
58.96.170.32:32100 123.57.136.155:32100 54.183.36.158:32100
upnp ports
Destination Proto. Port range Redirect to Local port
ALL UDP 6600 192.168.1.162 6600
ALL UDP 6602 192.168.1.162 6602
ALL TCP 1935 192.168.1.162 1935
Jo a urcite to nie je ziadne update firmwaru , naco by otvarala upnp porty . Okrem toho ten firmware sa nikdy updateovat nebude, je to totalny shit, nefunguju ani zakladne funkcie ako alarm , motion detect . Dalsia super vec na tej kamere - ak zabudte heslo ste v prdeli, neda sa nijako resetnut, ziadne tlacidlo nema, ani z vonku ani z vnutra . A aj ked nezabudnete heslo, ale zvolite si nejake dlhsie ako 16 znakov ste tiez v prdeli ak neviete o tom ze heslo pri ukladani orezala na 16 znakov, pretoze v login formulari mozete potom zadat dlhe heslo ktore ste zvolili ale ona chce len tych 16 prvych znakov z neho a ani o jeden viac, ale nikde o otm neinformuje, mozte zadat aj 200, ale chce len prvych 16 - to ma napadlo asi po hodine skusania roznych hesiel a cudovania sa preco to nejde .
Mohlo by to byt teoreticky NTP zistovanie casu, ale aj ked som to vypol stale tam tie porty boli otvorene a komunikovala cez UDP...
