PyTorch Lightning на PyPI скомпрометирован — версии 2.6.2/2.6.3

Коллеги, хочу обратить внимание в сфере кибербезопасности: PyTorch Lightning на PyPI скомпрометирован — опубликованы версии 2.6.2/2.6.3.
- Исследователи обнаружили загрузчик и обфусцированный JS, который при импорте скачивает Bun и payload для кражи учётных данных.
- Зловред валидирует GitHub-токены через api.github.com/user и внедряет коммиты; есть npm-вектор с postinstall и подменой локальных пакетов.
- PyPI пометил проект карантином. Рекомендации: заблокировать/удалить 2.6.2/2.6.3, откатиться на 2.6.1 и ротировать учётные данные.
Почему это важно: заражение цепочек поставок быстро распространяется на downstream.
Что Вы планируете сделать для проверки окружений?
#кибербезопасность #supplychain #PyPI #DevSecOps


Последние комментарии
Комментариев пока нет.