В PyPI нашли зловреды, ворующие ключи от аккаунтов в соцсетях
В официальном репозитории PyPI, который используется для хранения пакетов Python, выявили два опасных пакета, созданных для кражи пользовательских данных. Они успели набрать более 100 загрузок каждая, прежде чем были удалены. Наибольшее количество импортов зафиксировано в Соединенных Штатах, Китае, России и Индии. От зла нигде не спрятаться, даже в опенсорсе.
#безопасность
@zen_of_python
В официальном репозитории PyPI, который используется для хранения пакетов Python, выявили два опасных пакета, созданных для кражи пользовательских данных. Они успели набрать более 100 загрузок каждая, прежде чем были удалены. Наибольшее количество импортов зафиксировано в Соединенных Штатах, Китае, России и Индии. От зла нигде не спрятаться, даже в опенсорсе.
#безопасность
@zen_of_python
🤯9
На PyPi теперь умеют вводить «карантин»
В связи с возросшим числом библиотек, способных «угонять» данные разработчика и клиентов, инженеры по безопасности Python Software Foundation ввели понятие карантина для пакетов.
Если проект помечается как «заразный», он отправляется на проверку модераторам pypi.org, его нельзя установить. В случае удаления зловредного пакета, имя высвобождается.
#безопасность
@zen_of_python
В связи с возросшим числом библиотек, способных «угонять» данные разработчика и клиентов, инженеры по безопасности Python Software Foundation ввели понятие карантина для пакетов.
Если проект помечается как «заразный», он отправляется на проверку модераторам pypi.org, его нельзя установить. В случае удаления зловредного пакета, имя высвобождается.
#безопасность
@zen_of_python
🆒4☃3
В PyPI нашли библиотеку для MEXC, которая помогала… красть крипту у установивших
Вредоносный пакет ccxt-mexc-futures маскировался под легитимное расширение для автоматизации торговли криптовалютами. Пакет крал API-ключи пользователей и управлял их ордерами, перенаправляя запросы на поддельный сервер.
Воистину, в эпоху «Девятого вала контента» пропустить такой зловред при установке инструментария легче легкого.
#безопасность
@zen_of_python
Вредоносный пакет ccxt-mexc-futures маскировался под легитимное расширение для автоматизации торговли криптовалютами. Пакет крал API-ключи пользователей и управлял их ордерами, перенаправляя запросы на поддельный сервер.
Воистину, в эпоху «Девятого вала контента» пропустить такой зловред при установке инструментария легче легкого.
#безопасность
@zen_of_python
👀2✍1
Из гайда по безопасности Django
Фреймворк известен своей философией «батарейки в комплекте». Однако даже с его встроенными средствами защиты, безопасность приложения во многом зависит от разработчика.
Современные веб-приложения сталкиваются с множеством угроз. Хотя Django предоставляет встроенные механизмы защиты от многих из них, полезно ознакомиться с основными InfoSec-практиками.
Обновление Django и зависимостей
Регулярно «освежайте» версию фреймворка и сторонних библиотек, они нередко содержат хотфиксы в контексте безопасности.
Передача данных по HTTPS
Обязательно настраивайте свой веб-сервер, будь то nginx или что другое, на HTTPS. SSL-сертификат можно получить бесплатно на letsencrypt.com. Библиотека certbot даже позволяет настроить автопродление серта.
Ограничение доступа к базе данных
Хотя Django ORM защищает от SQL-инъекций, дополнительные меры не повредят:
— Ограничьте права пользователя БД до необходимого минимума;
— Регулярно создавайте резервные копии и шифруйте данные;
— Используйте ORM Django.
Если необходимо использовать сырой SQL, спасет параметризация. В примере ниже драйвер БД экранирует значение username:
Встроенные средства безопасности
Создатели проекта предоставляет множество встроенных механизмов безопасности:
— Добавьте
— Настройте заголовки безопасности, такие как
Аутентификация
— Реализуйте многофакторную аутентификацию с помощью пакетов, таких как django-otp;
— Применяйте ролевую модель доступа для управления правами пользователей.
Полезные библиотеки | Misc
Ниже представлена слегка эклектичная, но полезная подборка тулов, прямо или косвенно повышающих безопасность вашего сайта:
— django-ratelimit ограничит частоту запросов;
— django-guardian управляет объектно-ориентированными разрешениями;
— SonarQube / semgrep.dev: автотестирует ваш проект на предмет эксплойтов (DevSecOps).
#безопасность #основы
@zen_of_python
Фреймворк известен своей философией «батарейки в комплекте». Однако даже с его встроенными средствами защиты, безопасность приложения во многом зависит от разработчика.
Современные веб-приложения сталкиваются с множеством угроз. Хотя Django предоставляет встроенные механизмы защиты от многих из них, полезно ознакомиться с основными InfoSec-практиками.
Обновление Django и зависимостей
Регулярно «освежайте» версию фреймворка и сторонних библиотек, они нередко содержат хотфиксы в контексте безопасности.
Передача данных по HTTPS
Обязательно настраивайте свой веб-сервер, будь то nginx или что другое, на HTTPS. SSL-сертификат можно получить бесплатно на letsencrypt.com. Библиотека certbot даже позволяет настроить автопродление серта.
Ограничение доступа к базе данных
Хотя Django ORM защищает от SQL-инъекций, дополнительные меры не повредят:
— Ограничьте права пользователя БД до необходимого минимума;
— Регулярно создавайте резервные копии и шифруйте данные;
— Используйте ORM Django.
Если необходимо использовать сырой SQL, спасет параметризация. В примере ниже драйвер БД экранирует значение username:
from django.db import connection
with connection.cursor() as cursor:
cursor.execute("SELECT * FROM auth_user WHERE username = %s", [username])
Встроенные средства безопасности
Создатели проекта предоставляет множество встроенных механизмов безопасности:
— Добавьте
django.middleware.security.SecurityMiddleware в список MIDDLEWARE;— Настройте заголовки безопасности, такие как
Content-Security-Policy, X-Content-Type-Options, X-Frame-Options.Аутентификация
— Реализуйте многофакторную аутентификацию с помощью пакетов, таких как django-otp;
— Применяйте ролевую модель доступа для управления правами пользователей.
Полезные библиотеки | Misc
Ниже представлена слегка эклектичная, но полезная подборка тулов, прямо или косвенно повышающих безопасность вашего сайта:
— django-ratelimit ограничит частоту запросов;
— django-guardian управляет объектно-ориентированными разрешениями;
— SonarQube / semgrep.dev: автотестирует ваш проект на предмет эксплойтов (DevSecOps).
#безопасность #основы
@zen_of_python
👍2🎃1
Еще одна схема мошенничества на PyPi: освободившиеся домены
PyPI усиливает защиту аккаунтов от атак через «возрождение» доменов. С июня 2025 года система ежедневно проверяет статус доменов, связанных с адресами электронной почты пользователей. Если домен переходит в период восстановления или удаления, PyPI автоматически отменяет верификацию таких адресов, предотвращая возможность захвата аккаунта через сброс пароля. С начала июня более 1 800 адресов были размечены как ненадежные. Пользователям рекомендуется добавить вторичный адрес с надежного почтового сервиса и включить двухфакторную аутентификацию для повышения безопасности.
#безопасность
@zen_of_python
😈 — Если для мошенников в опенсорсе отдельный котел в аду
PyPI усиливает защиту аккаунтов от атак через «возрождение» доменов. С июня 2025 года система ежедневно проверяет статус доменов, связанных с адресами электронной почты пользователей. Если домен переходит в период восстановления или удаления, PyPI автоматически отменяет верификацию таких адресов, предотвращая возможность захвата аккаунта через сброс пароля. С начала июня более 1 800 адресов были размечены как ненадежные. Пользователям рекомендуется добавить вторичный адрес с надежного почтового сервиса и включить двухфакторную аутентификацию для повышения безопасности.
#безопасность
@zen_of_python
😈 — Если для мошенников в опенсорсе отдельный котел в аду
😈5❤1