Недавно стало известно о новой атаке на цепочку поставок под названием Shai-Hulud, в результате которой были скомпрометированы 19 пакетов, размещённых на платформе Python Package Index (PyPI). Эти пакеты, ориентированные на научные исследования, были загружены сотни тысяч раз, что подчеркивает масштаб проблемы.

Злоумышленники внедрили вредоносный код в указанные пакеты, что привело к распространению трояна, предназначенного для кражи конфиденциальной информации разработчиков. Вредоносное ПО может извлекать секретные ключи и другие данные, что представляет серьезную угрозу для безопасности проектов, использующих эти пакеты.

Эксперты по кибербезопасности предупреждают, что такие атаки на цепочку поставок становятся всё более распространёнными. Злоумышленники используют уязвимости в популярных библиотеках и пакетах, чтобы внедрить вредоносный код и получить доступ к системам разработчиков.

Разработчики, использующие пакеты из PyPI, должны быть особенно внимательны к обновлениям и проверять целостность загружаемых библиотек. Рекомендуется использовать инструменты для анализа зависимостей и мониторинга безопасности, чтобы минимизировать риски, связанные с подобными атаками.

Команда PyPI уже начала работу над устранением уязвимостей и удалением скомпрометированных пакетов. Пользователям настоятельно рекомендуется обновить свои окружения и следить за новостями на официальных ресурсах, чтобы не стать жертвой подобных атак в будущем.

Источник новости:
BleepingComputer

Читать полностью