PyTorch LightningとIntercom-clientがサプライチェーン攻撃で認証情報窃取被害

概要

【何が起きたか】人気のPythonパッケージ「PyTorch Lightning」が攻撃者に侵害され、悪意あるバージョン2.6.2と2.6.3がPyPI（Pythonパッケージ配布サイト）に公開されました。パッケージをインストール・インポートすると自動的に悪意のあるコードが実行されます。【影響範囲】GitHubトークンやその他の認証情報を窃取し、リポジトリの最大50ブランチに不正なコードを注入します。窃取した情報を使用してnpmパッケージ（JavaScriptの配布システム）も改ざんし、下流のユーザーシステムまで感染が広がる可能性があります。PyTorch Lightningはgithubで31,100以上のスター数を持つ広く使用されているフレームワークです。【対策】PyPIの管理者はプロジェクトを隔離し、プロジェクト開発者は調査を開始しました。ユーザーは該当バージョンの使用を避け、システムの認証情報の確認が推奨されます。

元記事（The Hacker News）