Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
#AFP journalist blocked from flying to #Ethiopia's #Tigray region
An AFP journalist was on Thursday barred from boarding a flight to Tigray in northern Ethiopia, where renewed tensions in recent months have raised fears of fresh conflict.
An accredited AFP reporter based in Addis Abeba was blocked from boarding a flight to Shire in Tigray because he did not have authorization from the Ethiopian Ministry of Foreign Affairs.
https://addisstandard.com/?p=55247
Dopo il quotidiano inglese #FinancialTimes oggi ne parla anche l'agenzia francese #AFP: "Le truppe turche per il salvataggio delle persone possono essere impiegate a #Gaza per trovare i corpi degli ostaggi israeliani sotto le macerie".
#Drone strike at #Sudan's border with #Ethiopia kills one: authorities
A drone attack blamed on paramilitary forces killed one person Thursday in the Sudanese town of Kurmuk, on the border with Ethiopia, authorities said.
"One person was killed, eight injured and 16 houses destroyed," a government source told #AFP by phone from #Kurmuk, a border town controlled by the army in Sudan's Blue Nile state.
In a statement, Kurmuk governor Abdelaty Mohamed al-Fiky blamed the strike on the paramilitary Rapid Support Forces (#RSF), at war with the army since April 2023, and their allies, a faction of the Sudan People's Liberation Movement-N orth (SPLM-N). Blue Nile state is the latest front in nearly three years of devastating war, now being fought mainly with deadly drone strikes. The fighting has left tens of thousands dead and around 11 million displaced, creating the world's largest hunger and displacement crises.
https://www.facebook.com/share/18JNprLucH/
News: AI-generated war narratives fuel #Ethiopia–Eritrea tensions online: report
Artificial intelligence (#AI) generated images and videos portraying a hypothetical #Ethiopian military takeover of #Eritrea’s strategic port of #Assab are increasingly shaping online narratives and inflaming tensions between the two countries, according to a report by #AFP.
One of the most prominent creators, 24-year-old Ethiopian law graduate Eliyas Kebede Zemedkun, who has more than 87,000 Facebook followers, told AFP he has spent much of 2026 producing AI-generated content depicting Ethiopia occupying Assab to promote what he described as “Ethiopia’s national narrative.” “I am also motivated to use AI-generated content to challenge narratives that try to downgrade the national army through different demoralizing tactics,” he said, adding that he uses free platforms such as #ChatGPT and #Gemini alongside editing software to create the material.
Read more: https://addisstandard.com/?p=56283