Shai-Hulud 캠페인, 19개의 과학 중심 PyPI 패키지 침해 (opens in new tab)

연구원들은 Python Package Index의 패키지에 영향을 미치는 새로운 Shai-Hulud 소프트웨어 공급망 캠페인을 식별했습니다. Socket은 19개 패키지에 걸쳐 37개의 악성 릴리스를 보고했으며, Dark Reading은 37개의 PyPI 휠을 인용했습니다. BleepingComputer는 해당 패키지들이 총 수십만 번 다운로드되었으며 Dynamo, Spateo, CoolBox, U-FISH 및 Napari-UFISH와 같은 과학 및 생물 정보학 도구를 포함하고 있다고 보고했습니다. 악성 PyPI 휠은 시작 후크(startup hooks)와 JavaScript 페이로드를 사용하여 개발자 비밀 정보를 훔쳤습니다. Cyber Security News는 23개의 새로 발견된 악성 PyPI 패키지 버전 아티팩트와 함께 추가적인 물결을 보고했으며, Socket이 현재 Mini Shai-Hulud, Miasma 및 Hades를 포함한 관련 npm 및 PyPI 활동 클러스터...