PyPI-пакет telnyx скомпрометирован

0

1

Разработчики VoIP-платформы Telnyx предупредили пользователей о компрометации полулярного (756 тысяч загрузок в месяц) пакета telnyx в репозитории PyPI реализующий SDK для обращения к API Telnyx.

В Linux зловред активировался при импорте модуля и осуществлял поиск и отправку SSH-ключей, учётных данных, содержимого переменных окружения, токенов доступа к API, параметров подключения к облачным сервисам AWS, GCP, Azure и K8s, ключей от криптокошельков, паролей к СУБД и т.п. Обнаруженные данные шифровались с использованием алгоритмов AES-256-CBC + RSA-4096 и отправлялись HTTP POST-запросом на внешний хост.

>>> Подробности

Ссылка

← Froggy-BLC 1.0 (Книжная Система Сайта, CMS)

Apple Mac OS X: 25 лет в строю →

← 1 2 →

Ответ на: комментарий от Somebody 30.03.26 03:31:54 MSK

Чтобы по самые яйцы себя обезопасить?

mittorn ★★★★★
(30.03.26 14:48:07 MSK)

Ссылка

Ответ на: комментарий от Zhbert 30.03.26 12:49:54 MSK

А как же золотое правило «доверяй, но проверяй»?
Подобная конструкция исключает проверку.
Да и вообще слепое доверие - порочная практика.
Что если их завтра через cargo и чью-то взломанную почту ломанут и там появится зловред, замаскированный так, что его не видно в терминале?

mittorn ★★★★★
(30.03.26 14:55:33 MSK)
Последнее исправление: mittorn 30.03.26 15:00:45 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от MoldAndLimeHoney 29.03.26 12:13:36 MSK

Дядя, в макоси нужно лезть в аналы настроек, чтобы разрешить запуск неподписанного бинаря. Прилаги принято ставить из аппстора, либо homebrew/macports. Это банально проще и меньше телодвижений

Logopeft ★★★
(30.03.26 15:02:20 MSK)

Ответ на: комментарий от MoldAndLimeHoney 29.03.26 12:18:00 MSK

Т.е. просто, чтобы использовать компьютер, я еще и должен отстегнуть шекелей какому-нибудь Ubikey (или о чем речь идет).

Не совсем так. Чтобы использовать компьютер непублично, в своих интересах.

Можно хранить в tpm

usermod ★
(30.03.26 15:53:53 MSK)

Ссылка

шо опять питухон?ну капец

Neresar ★★
(30.03.26 16:16:22 MSK)

Ссылка

Ответ на: комментарий от Logopeft 30.03.26 15:02:20 MSK

Сынок, я буквально открываю первую ссылку по «macos install rust» и гость из дальнего зарубежья рассказывает, что надо скачать и сразу запустить шелл скрипт, который сделает нужное.

MoldAndLimeHoney ★★
(30.03.26 17:35:02 MSK)

Ответ на: комментарий от areful 29.03.26 16:38:28 MSK

Михаил Зощенко, «Иногда можно кушать чернильницы».

Bass ★★★★★
(30.03.26 21:32:40 MSK)

Ссылка

Ответ на: комментарий от xenocerebrum 29.03.26 12:26:15 MSK

Искал, кто об этом скажет. Бонусом это работает как очень удобный менеджер ключей в принципе.

Dispetcher14 ★★★★★
(01.04.26 11:49:51 MSK)

Ссылка

Ответ на: комментарий от MoldAndLimeHoney 30.03.26 17:35:02 MSK

Я гуглю «linux install rust», первая ссылка:

Using rustup (Recommended)
It looks like you’re running macOS, Linux, or another Unix-like OS. To download Rustup and install Rust, run the following in your terminal, then follow the on-screen instructions. See «Other Installation Methods» if you are on Windows.