Компрометированный пакет PyTorch Lightning раздает крадущую учетные данные вредоносную нагрузку
Оказалось, что вредоносная версия пакета PyTorch Lightning из репозитория Python Package Index (PyPI) несёт в себе вредоносную нагрузку, предназначенную для кражи учетных данных из браузеров, файлов среды и облачных сервисов. Эта атака затрагивает пользователей, которые установили зараженный пакет. Все это происходит из-за уязвимости в процессе установки пакетов Python.
Подробности
Вредоносная версия пакета PyTorch Lightning содержит вредоносную нагрузку, которая нацелена на кражу учетных данных из различных источников, включая браузеры, файлы среды и облачные сервисы. Этот тип атак может привести к серьезным последствиям, включая несанкционированный доступ к конфиденциальной информации и возможность дальнейших атак. По данным из источника, CVE для этой уязвимости пока не присвоена, но исследования продолжаются.Что делать
Чтобы предотвратить потенциальный вред, пользователям, установившим пакет PyTorch Lightning из PyPI, необходимо проверить версию пакета и удалить ее, если она оказалась зараженной. Кроме того, рекомендуется использовать двухфакторную аутентификацию (MFA) для защиты учетных данных и регулярно обновлять программное обеспечение, чтобы иметь последние исправления безопасности. Избегайте установки пакетов из непроверенных источников и всегда проверяйте подлинность пакетов перед их установкой. Итог: Открытие вредоносной версии пакета PyTorch Lightning подчеркивает важность бдительности при установке программного обеспечения и необходимости реализации мер безопасности для защиты от потенциальных атак. Регулярно обновляйте программное обеспечение и применяйте лучшие практики безопасности, чтобы минимизировать риски.Источник: BleepingComputer