Discussion :

[VinsS]

Salut,

L'office national de sécurité Slovaque a publié une liste de dix logiciels malveillants publiés sur le serveur de PyPI.

Le moyen utilisé pour tromper l'utilisateur consiste à utiliser un nom très similaire à celui d'une librairie connue et de profiter de la distraction de la personne qui veut installer cette lib. Par ex. "urlib" pour "urllib"

Avertis par leurs soins les admins de PyPI ont retirés les paquets incriminés.

Pour savoir si vous avez installé un de ces paquets utilisez la commande suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
pip list –format=legacy | egrep "^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)"

En cas de doute, poser votre question ici avant de faire une bêtise.

Le site:
http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

[BufferBob]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$ pip list --format=legacy | egrep "^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)"
cryptography (2.0.3)

je propose une légère modification :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

pip list --format=legacy | egrep "^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)\b"

[VinsS]

Oui mais la coloration du nom montre la différence.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
vincent@djoliba:~$ pip list –format=legacy | egrep "^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)"
cryptography (1.2.3)
urllib3 (1.13.1)

Mais ta modif est préférable de toutes façons.

[BufferBob]

Oui mais la coloration du nom montre la différence.

du coup je viens de me rendre compte que --color=auto n'est pas par défaut sous cygwin (il n'y a pas de .bashrc par défaut)

j'en profite pour rajouter la commande équivalente sous windows, des fois que ça serve :

Code cmd :

Sélectionner tout - Visualiser dans une fenêtre à part

pip list --format=legacy | findstr /r /i /c:"^acqusition\>" /c:"^apidev-coop\>" /c:"^bzip\>" /c:"^crypt\>" /c:"^django-server\>" /c:"^pwd\>" /c:"^setup-tools\>" /c:"^telnet\>" /c:"^urlib3\>" /c:"^urllib\>"

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

pip list --format=legacy | Where {$_ -match '^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)\b'}