disasm.me channel
Канал вирусного аналитика, занимающегося безопасностью опенсорса и технологиями искусственного интеллекта. Плюс заметки по аспирантуре :) Чат: https://t.me/disasm_me_chat
نمایش بیشتر- مشترکین
- پوشش پست
- ER - نسبت تعامل
در حال بارگیری داده...
در حال بارگیری داده...
nose
.
Это такие батарейки для unittest
либы из стандартного питона, упрощающие написание тестов.
Либа старая, ещё от 2.7 питона.
В какой-то момент пришел некий товарищ mdmintz
, утащил 2/3 кода nose
, назвал это pynose
, поменял лицензию и выложил на гитхаб.
На этот проект завязалась ещё несколько проектов, и вот 31 января какой-то чувак обнаружил, что mdmintz
, когда утаскивал код mdmintz
закрыл issue.
Три дня назад какой-то ещё чувак это внезапно обнаружил и поднял бучу - у нас в репах дистрибутивов лежит пакет с проблемами с лицензированием - а это нехорошо.
В конце концов это привело к тому, что pynose
начали выпиливать из дистрибутивов, в частности, из nix'а (bleeding edge, все дела ;)).
Это, внезапно, вызвало массовые разломы сборки разного произвольного софта, люди пошли набегать в оригинальный issue, связанный с проблемами лицензирования, и там началось неистовое бомбометание.
Собственно, за ним сейчас можно наблюдать практически в прямом эфире.It seems like your package is claiming the wrong license: The original nose implementation is subject to LGPL-2.1-only as far as I can see (
https://github.com/nose-devs/nose/blob/master/lgpl.txt),...
transformars
", позиционируется как drop-in replacement для популярной ML-библиотеки "transformers
".
Он расшифровывает блоб через random.seed
+ random.getrandbits
, затем десериализует этот блоб с помощью pickle
. Внутри скрывается XMRig, майнер криптовалюты Monero.
Зарепортил админам PyPI.
Stay Safe.
@disasm_me_chsshd -V
На всякий случай сделал инструкцию по установке 9.8p1 на Debian-based (Debian, Ubuntu, Mint, ...):
apt-get update
apt-get install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev
wget https://github.com/openssh/openssh-portable/archive/refs/tags/V_9_8_P1.tar.gz
tar -xzf V_9_8_P1.tar.gz
cd openssh-portable-V_9_8_P1
./configure
make
make install
mv /usr/sbin/sshd /usr/sbin/sshd.bak
ln -s /usr/local/sbin/sshd /usr/sbin/sshd
systemctl restart sshd
На примере сервера pypi-quarantine из этой статьи:
До: OpenSSH_8.9p1 Ubuntu-3ubuntu0.6, OpenSSL 3.0.2 15 Mar 2022
После: OpenSSH_9.8p1, OpenSSL 3.0.2 15 Mar 2022
Баннер по nc
: SSH-2.0-OpenSSH_9.8
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this…
webhook.site
собирает информацию о пользователях, посетивших сгенерированную ссылку (работает как известный requestbin).
Только есть одна особенность - на webhook.site
можно зайти на панель по пути /#!/view/<uuid>/
и посмотреть переходы. Первый переход осуществлён из Франции через 3 минуты после публикации пакета, принадлежит некому исследовательскому центру 😼
В хорошем случае они готовят ресёрч об опасности скачивания пакеты с PyPI. 100% понимания, 0% осуждения. Тем не менее, репорт отправлен, так как это Unwanted Behaviour и тайпсквоттинг под pytorchBuy Huawei Band 9 here:
https://amzn.to/3UHpIfdBuy Xiaomi Smart Band 8 Pro here:
https://amzn.to/3wgS1I2Video comparison Huawei Watch Fit 3 vs Xiaomi Band 8 Pro:
https://youtu.be/2eKpn-pRdeYVideo comparison Huawei Watch Fit 3 vs Huawei Band 9:
https://youtu.be/JJwznM9596IVideo comparison Huawei Band 9 vs Honor Band 9:
https://youtu.be/RU8z6FdvHPwVideo comparison Huawei Band 9 vs Fitbit Charge 6:
https://youtu.be/4jSJ2i9PEXEVideo comparison Redmi Watch 4 vs Xiaomi Band 8 Pro:
https://youtu.be/5hVI0WgG8qQVideo comparison Xiaomi Smart Band 8 Pro vs Smart Band 8:
https://youtu.be/nD5fO0Ez9hwThe fitness tracker market is indeed dynamic, with new contenders like the Huawei Band 9 and Xiaomi Mi Smart Band 8 Pro entering the scene. Here’s a breakdown of their key differences to help you decide. By considering these factors and weighing them according to your priorities, you can make an informed decision between the Huawei Band 9 and Xiaomi Mi Smart Band 8 Pro. #huaweiband9 #XiaomiSmartBand8Pro
C:\ProgramData\Microsoft\Windows Defender\Quarantine\EntriesКак минимум можно встретить записи типов regkey, runkey, regkeyvalue и service, причем одному событию детектирования может соответствовать несколько записей одновременно (что соответствует записям EVTX канала Microsoft-Windows-Windows Defender/Operational c кодом 1117, где в одном событии фигурирует достаточно много путей). В большинстве случаев все достаточно прозрачно — обнаруживаемые записи, имеющие отличный от file тип, соответствуют фрагментам реестра и иногда позволяют выявить закрепление ВПО:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSI HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\netcat runkey 3F005C0043003A005C00770069006E0064006F00 C:\Windows\System32\nc.exe file 7305273EFC20E59A96E8AAFA2068ABD47693F773Файлы карантинов описываются соответствующими ID и располагаются в папках:
C:\ProgramData\Microsoft\Windows Defender\Quarantine\ResourceData\<Первый байт ID>\<ID>Такие файлы практически всегда соответствуют записям типа file, и извлечь содержимое карантина можно согласно схеме, описанной в вышеупомянутом скрипте: после расшифрования RC4 два смещения вычитываются из структуры, и фрагмент буфера можно смело сохранять в качестве трофея. Однако из любого правила существуют исключения — при ближайшем рассмотрении оказывается, что, в частности, для записей типа service: 1️⃣ ID начинается с «волшебного слова» 0x0000000014000A40, после обнаружения которого можно найти настоящий ID. 2️⃣ Схема декодирования карантина перестает работать — значением параметра, определяющего максимальный размер извлекаемого фрагмента, часто оказывается число, многократно превышающее размер самого буфера. В таких случаях стоит игнорировать прочитанные смещения и рассматривать в качестве извлекаемого карантина весь декодированный буфер, который имеет магическое число REGF и оказывается фрагментом реестра. Разобрать фрагмент, как правило, уже не составляет труда. @ptescalator
Tips and tricks от команды экспертного центра безопасности Positive Technologies (PT ESC)
pip install some-package --index-url https://pypi-quarantine.disasm.me/P14D/simple/
Отсечь все релизы 2024-го года: pip install some-package --index-url https://pypi-quarantine.disasm.me/2023-12-31/simple/
Когда это может быть полезно:
🟢 Сбор старых проектов. Некоторые опенсорс-проекты не указывают хотя бы минорную версию зависимостей, из-за чего для проекта 2019 года могут подтянуться релизы зависимостей, где требуемый функционал уже пару лет как депрекейтнут и выпилен;
🟢Настройка простенького карантина на месяц, чтобы не попасться на протрояненный пакет в рамках очередного фиша разработчиков;
🟢(Внезапно) Решение вузовских лаб 🤬 и прогон ноутбуков на Kaggle. Библиотеки по ml часто ломают свои зависимости, и приходится страдать либо с установкой библиотек, актуальных на даты создания лаб, либо адаптацией лабы под новые реалии.
Буду рад фидбеку :)
Из занятного - реализовал и запустил этот сервер ещё до новости с Docker Hub, тестил первые дни на предмет потенциальных проблем и зависимостями - всё работает без проблем.طرح فعلی شما تنها برای 5 کانال تجزیه و تحلیل را مجاز می کند. برای بیشتر، لطفا یک طرح دیگر انتخاب کنید.