PyTorch Lightning na PyPI kompromitovan — verzije 2.6.2/2.6.3

Poštovani, obratite pažnju u oblasti sajber bezbednosti: PyTorch Lightning na PyPI je kompromitovan — objavljene su verzije 2.6.2/2.6.3.
- Istraživači su otkrili loader i obfuskovani JS koji pri importu preuzima Bun i payload za krađu akreditiva.
- Malver verifikuje GitHub tokene putem api.github.com/user i ubrizgava commitove; postoji npm-vektor sa postinstall i zamenom lokalnih paketa.
- PyPI je stavio projekat u karantin. Preporuke: blokirajte/uklonite 2.6.2/2.6.3, vratite se na 2.6.1 i rotirajte akreditive.
Zašto je važno: kompromitacija lanca snabdevanja brzo se širi na downstream.
Šta planirate uraditi za proveru Vaših okruženja?
#kiberbezbednost #supplychain #PyPI #DevSecOps


Poslednji komentari
Još nema komentara.