Последние новости: PyPI

GitHub Actions, токены и релизы стали новой поверхностью атаки. Доверять пакетам «потому что они популярные» больше нельзя.

Новая волна Contagious Interview затронула сразу пять экосистем открытого ПО. Вредоносные пакеты маскировались под инструменты для разработчиков и загружали второй этап заражения.

В PyPI обнаружили вредоносные версии официального Python SDK Telnyx — 4.87.1 и 4.87.2. Разбираем, что произошло, какие системы были под угрозой, как работала атака и что делать разработчикам и DevOps-командам.

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи и токены

Украденный из Trivy токен дал TeamPCP доступ к публикации LiteLLM на PyPI. Заражённая версия запускалась при каждом старте Python, не только при импорте библиотеки. За три часа зафиксировано 500 000 случаев кражи данных. Jupyter, Ansible, юнит-тесты — всё передавало сведения …