開発側は常に改良し続ける必要があります。
それを破ろうとする人も常にいる訳でそういう意味ではリスクはあるでしょうが、それはどの言語にも言えることです。
以前JavaScriptに脆弱性が？みたいな記事を見たのかもしれませんがそのニュースの直後に開発元は改良してます。

こういうのキツいよな。。

「悪意のある「ctx」モジュールがインストールされると、開発環境の変数をすべて収集してアップロードしてしまいます。」って被害が深刻そう。

マジかよ、怖

Pythonはctxパッケージが被害食らった模様

こういうの見ると、ちょっとワクワクするのはヤバいですか？

【相変わらずの界隈】

だから、オープンソースって１００パーセント信用しちゃダメって

ctxでは環境変数、phpassではAWSへのアクセスキーを取られてたらしいんな……しかも大分前から取られてたという。大事件では？

>>

一部の情弱企業のお偉いさんが「OSSは危険だから禁止！全部作れ！」とか言い出しそう。

そんなぁ、、、、、…
えっ？？
どゆこと？
「ctx」つかえるの？？？？

リポジトリハイジャック…😱

この手の問題も、適当な団体、日本なら jpcert, ipa など、が集約して周知していってほしい。

怖いねぇ😨😨

ええ・・・
そんなことあんの？

[タレ]求)既存プログラムが乗っ取られマルウェア化する事への対策
PythonとPHPのパッケージ乗っ取りが有りました。
同一犯の可能性が高いようです。

タレコミ子が改めて思うのは、ライブラリを使うのは良いのですが、攻撃の入り口もライブラリを

こういうの増えてきたな。怖すぎる。どうやって検知すれば良いんだ

安心レンタルWiFiならクラウドWiFi東京一択！

割引クーポンコードは→(cloudsmartch2)

依存ライブラリをgitから自動ダウンロードする仕組みが普及しすぎて、期限切れ URL が乗っ取られて使われてしまうやつ……

ふむ。

「「ctx」が、モジュールを取得した開発者の情報を侵害する悪意ある変更を加えられていたことが判明」

この記事をおすすめしました: "

「ctx」と「phpass」利用されている方は注意を！

【緊急・重要】
「ctx」と「phpass」をダウンロードした方は、記事を読んでください。
■

素直にこれ怖い。
①repo-jackなんてされたらどうしようもない
②アクセスキーってやっぱこういう時怖い
とりま、アクセスキーの見回り(利用履歴が正しいか)と使ってないやつの無効化祭りしようかな、、
（PythonもPHPもほぼ使ってないけど、、）

こういうケースが増加すれば、必然的に企業のOSS利用の規制に繋がる。安全性の担保が「多数の開発者」に委ねられている現実は変えられないので、一部の開発者の悪意を抑止するのは難しい。

phpass ってすごい名前だな

PythonやPHPのライブラリの一つのコードが悪意ある内容に書き換えられていたそうです。

pythonのctxと呼ばれるものが2022/5/15に、phpのphpassは2022/5/24に書き換えられているという事です。

大元に毒突っ込まれると嫌だね

っべーじゃん怖いこと書かんでくれｗｗｗ

aws のキーとか変数のアップロードとか怖

この記事をおすすめしました: "

なかなかエグい🙄

環境変数収集、ヤバすぎ

アカンすぎるやろ

え、こわ

「これらの攻撃は同じ人物によるものであり、その身元も明らかになっています」と述べた上で、詳細が明らかになるまでは具体的な発表を控えています

プログラム言語の とPHPのライブラリが乗っ取られ悪意のあるバージョンが公開、開発者の情報が収集される
辞書オブジェクト操作のPythonモジュール「

要注意

PHPもか

なにこれこわい ::

_φ(･_･ ﾒﾓﾒﾓ Pの付く言語は危ないと・・・

なにこれ怖、、、
ライブラリ使ったら情報取られるとか。
気楽にオープンソース使えないやん

≫「ctx」の全てのバージョンに悪意のあるコードが存在することが示されました

AWSの情報が盗まれるのはかなりヤバい🙀
だけど正規ライブラリに悪意あるコードが入った場合、利用者側で対策は難しい。
どうすればいいのだろう🤔

「誰でもチェックできるから安心」は「誰かチェックしないかぎり危険」なんやな

これはやば
> 悪意のある「ctx」モジュールがインストールされると、開発環境の変数をすべて収集してアップロードしてしまいます

Pythonを開発に用いるためのモジュールのひとつである「ctx」が、モジュールを取得した開発者の情報を侵害する悪意ある変更を加えられていた。

PHPのライブラリってphpassか。
使ったことあるな。

週に2万回以上ダウンロードされる人気パッケージ「ctx」。悪意のあるコードが含まれており、一定数のユーザーが侵害されている可能性があります。

こっわ。
まあ最新バージョンのライブラリを使うことはあんまないけど。

Pocket New item archived:

ですってよ。オープンソースの弊害がじわじわ現れてきた感じですなぁ…。ライブラリ使ってる方々は気を付けてね。

全てのバージョンが対象という事で、自社管理サーバーのチェックをお早目に。

この手の乗っ取り今後増えるんじゃないかな

phpassというものを知らなかったのだけど、password_hash と同じ目的のものらしい。今どきは使っている人はあまりいないんじゃないかな。

リポジトリのジャック増えてるな

ううむ。：

オープンソースはこういうのが怖い

ふむー

📍
📝
【出所 / 厳選】

【ゆかりさんニュース】