上周,GitHub上的Ultralytics AI库遭遇了供应链攻击。12月4日,该库的8.3.41版本被上传到Python包索引(PyPI),下载量接近6000万次。此恶意版本包含下载XMRig挖矿程序的代码。本次攻击利用了GitHub Actions脚本中的已知漏洞。
Python软件基金会的Seth Michael Larson分析了这一事件,并建议改进PyPI的安全协议。他建议撤销未使用的API令牌,确保GitHub环境正确配置了受信任的发布者,并为发布者维护通用安全清单。
有关攻击和Larson关于增强供应链安全的建议的更多详细信息,请参阅来源。