PyPI의 낮은 Hash 검증률(78%)과 느린 탐지 시간(11.7h) 분석
Supply chain npm vs PyPI: I compared both simulations and the most dangerous vector isn't what everyone thinks
Shai-Hulud 테마 악성코드가 PyTorch Lightning AI 학습 라이브러리에서 발견됨
PyTorch Lightning 침해 사고를 통한 Supply Chain Attack 분석 및 대응 방안
PyPI 의존성 해시 검증 부재로 인한 ML Supply Chain Attack 위험 분석 및 대응
Malware in PyTorch Lightning: I Simulated the Same Supply Chain Attack Vector on My ML Dependencies in Production
PyPI ML 생태계의 Hash 검증 부재 해결 및 Supply Chain Attack 방어 체계 구축
Malware en PyTorch Lightning: simulé el mismo vector de supply chain attack sobre mis dependencias de ML en producción
주간 93만 건 다운로드 패키지 타겟 Mini Shai-Hulud 공급망 공격
The never-ending supply chain attacks worm into SAP npm packages, other dev tools
PyPI 공급망 공격 방어를 위한 증거 기반 패키지 검증 도구 trustcheck 설계
I Almost Installed a Malicious Python Package: So, I Built trustcheck
PyPI 공급망 공격 차단, pip-guardian을 통한 패키지 검증 전략
pip-guardian on Pypi
PyPI 패키지 신뢰성 검증, trustcheck CLI로 자동화
I built a CLI to verify PyPI package attestations before installing packages
PyPI 보안팀 공식 공급망 공격 사고 보고서: LiteLLM·Telnyx 악성 패키지 사건 그리고 방어하기
PyPI 공급망 공격 분석, API 토큰 탈취부터 악성 패키지 배포까지의 연쇄 경로
하루 만에 PyPI와 HuggingFace에 실운영 MLOps 파이프라인을 공개함
I open sourced a production MLOps pipeline. Here is what it took to get it to PyPI and Hugging Face in one day.
LiteLLM 1.82.8 패키지가 PyPI 공급망 공격으로 침해되어 4만 회 이상 다운로드되었으며, 악성코드는 SSL 키와 API 키 등 민감 정보를 탈취하는 기능 구현
PyPI Supply Chain Attack Compromises LiteLLM, Enabling the Exfiltration of Sensitive Information
LiteLLM 공급망 공격에 대한 분 단위 대응 기록
LiteLLM 공급망 공격에서 Claude의 지원으로 취약점을 발견·분석·보고하여 PyPI가 30분 내 패키지 격리 및 47,000명 감염 확산 방지
PyPI의 Telnyx 패키지 계정 탈취로 인한 공급망 공격 사례와 7가지 방어 전략(의존성 핀닝, 락 파일 생성, 패키지 서명 검증, 취약점 자동 스캔, CI/CD 보안 검사, 프라이빗 저장소, 런타임 모니터링)
Supply Chain Security: How the Telnyx PyPI Compromise Happened and How to Protect Your Projects
TeamPCP가 보안 스�너(Trivy, Checkmarx KICS)를 먼저 침해해 PyPI 퍼블리싱 토큰을 탈취한 후 litellm 3.6백만 일일 다운로드 패키지에 다단계 백도어 주입
LiteLLM Supply Chain Attack: How TeamPCP Backdoored AI Infrastructure
litellm 1.82.8 PyPI 패키지에 포함된 악성 `litellm_init.pth` 파일이 자격 증명 탈취 수행
PyPI의 litellm 1.82.8 패키지가 .pth 파일 자동 실행 기능을 악용해 API 키·SSH 키·클라우드 토큰 등 모든 자격 증명을 탈취
LiteLLM 1.82.7 및 1.82.8 PyPI 패키지 침해 사건
LiteLLM v1.82.7, v1.82.8의 PyPI 패키지 침해로 malicious 코드 배포 후 모든 자격증명 교체 및 공급망 보안 재설계 필요성 대두
LiteLLM 1.82.7과 1.82.8 버전이 PyPI에서 악성 코드로 침해되어 AI 개발자 커뮤니티에 공급망 공격 노출
LiteLLM PyPI Compromise: What You Need to Know Now
LiteLLM이 CI/CD 파이프라인의 Trivy 취약점을 통한 공급망 공격으로 v1.82.7, v1.82.8 버전이 PyPI에서 제거
LiteLLM loses game of Trivy pursuit, gets compromised
litellm 1.82.8 PyPI 패키지의 .pth 파일이 Python 시작 시 자동 실행되는 자격증명 탈취 스크립트를 포함해 공급망 침해 사고 발생
LiteLLM Python package compromised by supply-chain attack