На протяжении последних суток инфраструктура популярной библиотеки для развёртывания моделей машинного обучения Xinference оказалась под ударом целенаправленной атаки на цепочку поставок.
В мире открытого программного обеспечения для Python (PyPI) обнаружен новый образец высококачественной социальной инженерии, нацеленный на разработчиков, работающих с искусственным интеллектом.
Атаки на цепочку поставок программного обеспечения продолжают эволюционировать, переходя от точечных инцидентов к скоординированным кампаниям, охватывающим несколько экосистем.
Атаки на цепочку поставок программного обеспечения остаются одним из наиболее разрушительных векторов угроз, и недавний инцидент с библиотекой "bittensor-wallet" - яркое тому подтверждение.
Исследователи Socket обнаружили вредоносный PyPI-пакет с названием automslc, который использует API Deezer для координирования несанкционированных загрузок музыки.
Экспертный центр компании Positive Technologies (PT ESC) недавно обнаружил и предотвратил вредоносную кампанию в основном репозитории Python Package Index (PyPI).
Команда Socket обнаружила вредоносный пакет PyPI под названием pycord-self, который предназначен для разработчиков, ищущих Python-обертки для пользовательского API Discord.
Команда Checkmarx Security Research Team выявила опасный пакет Python под названием "lr-utils-lib", размещенный в репозитории PyPi. Этот пакет был замаскирован под полезную библиотеку для разработчиков
Вредоносная кампания с использованием нескольких пакетов python, особенно пакета "spl-types", началась 25 июня с загрузки безобидного пакета на PyPI. Начальная версия пакета была безопасной, чтобы вызвать доверие и избежать обнаружения.
Команда FortiGuard Labs выявила вредоносный пакет PyPI под названием zlibxjson, который представляет угрозу для всех платформ, на которых установлены пакеты PyPI.
