هک پکیج PyPI با ۱.۱ میلیون دانلود ماهانه
پایتونپکیج محبوب elementary-data در PyPI که ماهانه بیش از ۱.۱ میلیون بار دانلود میشه، هک شد و یه نسخه مخرب روی آن آپلود شد. مهاجم با سوءاستفاده از یه آسیبپذیری در GitHub Actions، یه کامیت جعلی امضا کرد و نسخه backdoor دار رو از طریق pipeline رسمی پروژه منتشر کرد. این نسخه مخرب قادر به سرقت کلیدهای SSH، اعتبارنامههای ابری، فایلهای .env، کیفپولهای رمزارز و تاریخچه شل بود. یه نسخه پاک (۰.۲۳.۴) جایگزین شده، ولی کسایی که نسخه آلوده رو دانلود کردن باید فوری همه secret هاشون رو تغییر بدن.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
