绿盟科技CERT监测到开源AI框架Xinference在PyPI遭受供应链攻击，攻击者发布了3个恶意版本（2.6.0、2.6.1和2.6.2），窃取用户敏感数据。建议用户立即降级至安全版本2.5.0并进行全面排查与防护。此事件强调了开源组件的安全审计和供应链安全的重要性。

Discovered by FutureSearch researcher Callum McMahon, a supply chain attack against LiteLLM on PyPI resulted in over 40 thousand downloads of a compromised version that installed a malicious...

网络安全研究人员发现，网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道，渗透npm、PyPI和RubyGems等平台，窃取开发者敏感文件。恶意软件包通过重写安装命令，悄然将数据发送至攻击者控制的webhook，从而规避检测，导致数据泄露。

近期攻击者通过注入恶意代码窃取GitHub Actions中的PyPI发布令牌，部分令牌被盗但未被滥用。PyPI建议开发者启用“可信发布者”功能以增强安全性。

网络安全研究人员发现，攻击者通过Python包索引(PyPI)分发恶意软件包，利用拼写错误诱骗用户安装篡改的Bittensor软件，从而盗取用户钱包。攻击者发布多个变体软件包，针对质押用户注入恶意代码进行盗窃。

由于涉及钓鱼活动，PyPI 存储库自 6 月 9 日起禁止使用俄罗斯 Inbox.ru 邮箱注册账户。黑客利用该邮箱创建了 250 多个账户，发布了 1,500 多个安全威胁项目。为防止滥用，PyPI 已删除相关账户和项目，并更新了阻止列表。

近期全球网络安全事件包括恶意PyPI包数据窃取、谷歌应用商店钓鱼应用、AI技术栈安全风险、IBM和Blink路由器漏洞、阿努比斯勒索软件及虚拟绑架诈骗，提醒用户提高警惕并及时更新系统。

在安装PyPI上的Python包时，'Programming Language'分类仅用于搜索，不影响安装。以onnxruntime为例，1.20.0版本声明支持Python 3.7至3.12，但实际仅支持3.10及以上。1.21.0版本修正了此问题，明确要求Python >=3.10。使用python_requires字段可控制兼容性，分类仅供浏览。

全球网络安全事件频发，包括恶意浏览器扩展、供应链攻击和勒索软件等，攻击者利用新技术诱骗用户并窃取敏感信息，企业需加强防护措施。

近期，网络安全研究人员发现GlueStack遭受供应链攻击，多个软件包被植入恶意软件，影响下载量近百万次。攻击者可执行命令、窃取信息或关闭服务。安全公司Aikido已将受影响版本标记为弃用，建议用户回滚至安全版本。同时，发现两个伪装成合法工具的npm包，具备信息窃取和系统破坏功能。

近期在npm、Python和Ruby软件包仓库中发现多组恶意组件，这些组件通过伪装和流量重定向实施供应链攻击，窃取加密货币和Telegram数据，显示出开源生态系统的安全隐患。安全机构报告称，攻击者利用地缘政治事件进行定向攻击，部分恶意组件已被下架。

Socket安全研究团队发现针对Python软件包索引的复杂供应链攻击，攻击者通过隐蔽代码篡改窃取Solana区块链私钥。恶意软件利用传递依赖和动态代码替换技术感染开发者环境，导致私钥被悄悄发送至区块链。Socket已请求紧急下架相关软件包。