VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

PyTorch Lightning на PyPI скомпрометирован — версии 2.6.2/2.6.3

PyTorch Lightning на PyPI скомпрометирован — версии 2.6.2/2.6.3

Коллеги, хочу обратить внимание в сфере кибербезопасности: PyTorch Lightning на PyPI скомпрометирован — опубликованы версии 2.6.2/2.6.3.

- Исследователи обнаружили загрузчик и обфусцированный JS, который при импорте скачивает Bun и payload для кражи учётных данных.
- Зловред валидирует GitHub-токены через api.github.com/user и внедряет коммиты; есть npm-вектор с postinstall и подменой локальных пакетов.
- PyPI пометил проект карантином. Рекомендации: заблокировать/удалить 2.6.2/2.6.3, откатиться на 2.6.1 и ротировать учётные данные.

Почему это важно: заражение цепочек поставок быстро распространяется на downstream.

Что Вы планируете сделать для проверки окружений?

#кибербезопасность #supplychain #PyPI #DevSecOps

Последние комментарии

Комментариев пока нет.