PyPI遭投毒!LiteLLM用户Python启动就中招,个人凭证秒泄露

随后,LiteLLM的CI/CD在构建过程中接触到了被污染的Trivy,并让攻击者窃取到了维护者的PyPI凭证。利用该凭证,攻击者先后发布恶意版本LiteLLM 1.82.7和LiteLLM 1.82.8。
腾讯网

月下载9700万的Python库被“投毒”!Karpathy紧急警告:一行pip install ...

如果你是一名 Python 开发者,对 pip install 命令肯定很熟悉——这是最常用的套件安装指令,可用来从 PyPI 或其它来源安装、升级与管理套件。 但就在 3 月 24 日,这个看似无害的动作,差点变成一场席卷整个开源生态的安全灾难:出问题的是 AI 开发圈中使用 ...