PyPI リポジトリが攻撃を受ける: ユーザーのサインアップとパッケージのアップロードが一時的に停止される from thehackernews.com
security summary
2023 年 5 月 21 日 Ravie Lakshmanan ソフトウェア セキュリティ / マルウェア
Python プログラミング言語の公式サードパーティ ソフトウェア リポジトリである Python Package Index (PyPI) の管理者は、追って通知があるまで、ユーザーがサインアップして新しいパッケージをアップロードする機能を一時的に無効にしました。
「過去 1 週間でインデックス上に作成された悪意のあるユーザーと悪意のあるプロジェクトの量は、特に複数の PyPI 管理者が休暇中であるため、タイムリーに対応する能力を上回っています」と管理者は 5 月 20 日に公開された通知で述べています。
これらの不正パッケージの PyPI への公開に関与するマルウェアと脅威アクターの性質に関する追加の詳細は明らかにされていません。
新規ユーザーおよびプロジェクトの登録を凍結する決定は、PyPI などのソフトウェア レジストリが、ソフトウェア サプライ チェーンを汚染して開発者環境を侵害しようとする攻撃者にとって人気の標的であることが何度も証明されている中で行われました。
コメント