Num2words PyPI Package Compromised
10 months ago
- #num2words
- #supply-chain-security
- #python
- Python包num2words版本0.5.15在未创建对应GitHub标签的情况下被发布到PyPI,引发安全担忧。
- 安全研究员@johnk3r将该事件与以供应链攻击闻名的'Scavenger'威胁组织相关联。
- PyPI迅速移除了被劫持的软件包,阻止了进一步安装。
- 自动化工具已开始将项目升级到恶意版本,显示出快速传播风险。
- 建议用户检查安装情况,必要时降级版本并审计系统。
- 推荐使用StepSecurity Harden-Runner工具检测CI/CD环境中被篡改的依赖项。
- 该事件突显了Python生态系统中持续存在的供应链安全风险。
- 敦促维护者和用户实施更严格的安全实践和验证机制。