月下载9700万的Python库被“投毒”!Karpathy紧急警告:一行pip install ...

如果你是一名 Python 开发者,对 pip install命令肯定很熟悉——这是最常用的套件安装指令,可用来从 PyPI 或其它来源安装、升级与管理套件。 但就在 3 月 24 ...
电子工程专辑

【Python学习笔记】|PyPI使用国内源(pip更换国内源)

今天,我在学习及实践使用 Python 虚拟环境时,下载相应库文件,直接使用 pip 下载,结果因下载速度过于实在太慢导致始终 ...
Bleeping Computer

451 PyPI packages install Chrome extensions to steal crypto

Over 450 malicious PyPI python packages were found installing malicious browser extensions to hijack cryptocurrency transactions made through browser-based crypto wallets and websites. This discovery ...
Bleeping Computer

PyPi python packages caught sending stolen AWS keys to unsecured sites

Multiple malicious Python packages available on the PyPI repository were caught stealing sensitive information like AWS credentials and transmitting it to publicly exposed endpoints accessible by ...

慢雾首席信息安全官 23pds:Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击

慢雾首席信息安全官 23pds 发推表示,月下载量高达 9700 万次的 Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击,攻击者通过 pip install litellm 指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括:SSH 密钥、云服务凭据(AWS / GCP / Azure)、Kubernetes 配置文件、Git 凭据、环境变量中的 API 密钥、Shel ...