Разработчики, использующие официальный Python-клиент Microsoft Azure Durable Functions, оказались под ударом. В репозитории PyPI обнаружены три вредоносные версии пакета durabletask - 1.
Исследователи в области информационной безопасности зафиксировали масштабную атаку на реестр пакетов npm. Злоумышленники получили контроль над учётной записью мейнтейнера "atool" и опубликовали вредоносные
Экосистема открытого кода снова оказалась под ударом: исследователи выявили две вредоносные библиотеки в репозиториях npm и PyPI, которые под видом легитимных утилит для управления кластерами Kubernetes
11 мая 2026 года группа TeamPCP, известная по предыдущим инцидентам с SAP, Checkmarx и Bitwarden, одновременно атаковала два крупнейших реестра пакетов - npm и PyPi.
Разработчики по всему миру столкнулись с атакой, которая использует механизмы доверенной публикации против самих же авторов. Исследователи из компании JFrog опубликовали отчёт о продолжающейся кампании Shai-Hulud: Here We Go Again.
Атаки на цепочку поставок искусственного интеллекта продолжают набирать обороты. На этот объектом злоумышленников стал официальный клиент компании Mistral для языка Python, размещённый в репозитории PyPI.
Специалисты компании ReversingLabs обнаружили вредоносный код в криптовалютном торговом проекте. Код попал туда после того, как ИИ-агент добавил подозрительную зависимость в репозиторий.
Популярный пакет lightning, предназначенный для построения и обучения моделей машинного обучения и скачиваемый примерно восемь миллионов раз в месяц, стал источником серьёзной угрозы.
Двадцать четвёртого апреля 2026 года в репозиторий пакетов PyPI была загружена вредоносная версия популярной библиотеки elementary-data (0.23.3), предназначенной для наблюдения за данными в среде инструмента dbt.
Двадцать второго апреля две тысячи двадцать шестого года в репозитории PyPI были обнаружены три последовательные версии популярного фреймворка для инференса больших языковых моделей Xinference (Xorbits
