30 апреля на PyPI обнаружили новую версию PyTorch Lightning, которая при импорте скачивала Bun и запускала 11,4 МБ опасного JavaScript-вора. Цель — браузеры, облачные API, GitHub-токены. Всего одна строчка импорта: import lightning — и все ваши API-ключи и данные будут скомпрометированы! Полный разбор инцидента внутри.
Разобрать инцидентИсточник: Хабрахабр
Источник: goodchal23
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке