名稱刻意只差正版一個字、意圖混淆開發者,惡意Python套件fabrice專門竊取AWS金鑰
資安業者Socket警告,攻擊者打造偽裝成SSH自動化函式庫fabric的惡意Python套件fabrice,企圖竊取開發人員的憑證
2024-11-10
| OpenSSF | GitHub | 惡意套件 | 軟體供應鏈
OpenSSF開源惡意套件儲存庫,以應對開源軟體供應鏈安全威脅
OpenSSF釋出公開惡意套件儲存庫,集結並發布跨平臺惡意套件報告,以增進惡意套件報告資訊的傳遞,並協助阻止以及應對相關安全威脅
2023-10-16
安全風險管理廠商Vulcan研究發現,ChatGPT在回答常見的程式開發問題時,會提供不存在的Python與NPM套件資料,這讓攻擊者得以利用這類AI幻覺捏造出來的套件散布惡意程式
2023-06-14
| 軟體供應鏈攻擊 | PyTorch | PyPI | 惡意套件
PyPI軟體儲存庫新年假期間被上傳PyTorch冒牌相依性套件
PyTorch團隊在12月30日發現惡意的相依性套件torchtriton被上傳到PyPI,如果開發人員在12月25日到12月30日之間透過pip管理員安裝Linux 版PyTorch-nightly測試套件,應立即移除
2023-01-03
Check Point於10月底偵測到一隻PyPI出現的惡意套件,該套件運用隱寫術(steganography),將惡意程式碼藏在圖片中
2022-11-21
| OpenSSF | Package Analysis | 開源儲存庫 | 惡意套件
OpenSSF釋出可用來辨識惡意套件的Package Analysis工具
開源安全基金會(OpenSSF)發表套件分析(Package Analysis)專案的原型,經過一個月的分析之後,找到了上傳至PyPI及npm專案的逾200個惡意套件
2022-05-02