Python z 97 mln pobrań zatruty hakerzy kradli klucze SSH i API

Biblioteka LiteLLM paczka z 97 mln pobrań do obsługi modeli AI trafiła na PyPI w zainfekowanej wersji. Złośliwy kod kradł klucze SSH, API (AWS, Azure, GCP), hasła do baz danych i portfele krypto. Zainfekowanych mogło być nawet 500 tys. urządzeń wykrycie uratował błąd: fork bomb.
z- 34
- #
- #
- #
- #
- #
- #


















* wszelakie skanery, które wykrywają takie akcje połączone jakoś z systemem do ściągania zależności, które nie akceptują niezweryfikowanych paczek
* ściąganie kodu bezpośrednio z repo. Żadnych tarballi ani skompilowanych bibliotek. Ten słynny exploit w xz opierał się właśnie na tym.
* wprowadzenie jakichś weryfikacji na poziomie języka. Przykładowo biblioteka musi wymagać potwierdzenia od użytkownika,