一个被称为“Mini Shai-Hulud”的复杂攻击活动,由 TeamPCP 团队发起,已成功攻破 npm 和 PyPI 上的众多开源包,包括 TanStack、Mistral AI 和 UiPath 等知名项目。攻击者利用 GitHub Actions 的弱点,发布带有有效 SLSA 来源的恶意版本包,而 SLSA 来源曾被认为是保证构建过程完整性的安全措施。这是首次记录到恶意包绕过 SLSA 构建级别 3 的事件,引发了对软件供应链安全的严重担忧。 AI
影响 破坏了对软件供应链的信任,可能减缓依赖开源组件的 AI 工具的采用。
排序理由 这是一起重大的安全事件,涉及多个带有有效来源的高调开源包被攻破,凸显了供应链安全措施中的一个关键漏洞。[lever_c_demoted from significant: ic=1 ai=0.7]
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →