A Shai-Hulud utánzó kampánya PyPI-elgépelésekkel célozza meg a Python fejlesztőket

A GitLab egy összehangolt PyPI ellátási lánc támadást talált, amely egy Shai-Hulud kártevő másolatot telepített négy typosquat csomagon és egy fegyverként használt legitim projekten, az mflux-streamlit-en keresztül. A telepítési idejű hasznos adat ellopja a CI/CD és a felhő hitelesítő adatait, és önmagát terjeszti más adattárakba és rendszerleíró adatbázisokba, a PyPI pedig eltávolította a rosszindulatú kiadásokat.