GitLab odhaľuje útok na vývojárov Bittensor prostredníctvom škodlivých PyPI balíčkov
Bezpečnostný tím GitLab odhalil kampaň zameranú na krádež kryptomeny Bittensor prostredníctvom falošných PyPI balíčkov. Zistite, ako útočníci manipulovali vývojársku komunitu a ako sa chrániť.
GitLab odhaľuje krádežnú kampaň zameranú na Bittensor cez PyPI
Bezpečnostný tím GitLabu odhalil sofistikovanú kampaň zameranú na krádež kryptomeny prostredníctvom škodlivých balíčkov zverejnených v repozitári PyPI. Táto operácia, známa pod názvom ‘bittensor-theft campaign’, sa zameriavala na vývojárov využívajúcich rámec Bittensor – decentralizovanú sieť neurónových sietí postavenú na blockchaine.
Útočníci vytvárali falošné verzie legitímnych Python balíčkov, ako napríklad „btensor“ a „bittensor-utils“, ktoré obsahovali škodlivý kód schopný vykrádať prihlasovacie údaje, SSH kľúče a privátne informácie užívateľov. Tento malware bol starostlivo skrytý, a po inštalácii automaticky vyhľadával peňaženky Bittensor (TAO) a prenášal ukradnuté dáta na vzdialený server útočníka.
GitLab sa o incidente dozvedel vďaka kombinácii vlastnej bezpečnostnej analytiky a zdrojom z komunity. Aj keď primárnym cieľom boli vývojári Bittensoru, incident upozorňuje na rastúce riziká napadnutia dodávateľského reťazca (supply chain) vo svete open source softvéru.
Bezpečnostní experti vyzývajú vývojárov na zvýšenú opatrnosť pri inštalácii balíčkov z verejných repozitárov, overovanie ich zdroja a využívanie dôveryhodných SCA nástrojov (Software Composition Analysis), ako je napríklad GitLab Secure.
GitLab týmto zároveň pripomína, že bezpečnosť je kolektívna zodpovednosť, a pozýva vývojársku komunitu k nahláseniu podozrivých aktivít cez ich oficiálne bezpečnostné kanály.
IDEA GitLab Solutions, ako GitLab Select Partner, ponúka profesionálne konzultácie, bezpečnostné audity a licencie GitLab riešení na Slovensku, v Česku, Chorvátsku, Srbsku, Slovinsku, Macedónsku, Spojenom kráľovstve a prostredníctvom svojich vzdialených expertov aj v Izraeli, Južnej Afrike a Paraguaji. Neváhajte nás kontaktovať na IDEA GitLab Solutions pre viac informácií či konzultácie ku bezpečnostným nástrojom a DevSecOps integrácii vo vašej organizácii.
Štítky:GitLabBittensorPyPImalwaresupply chainbezpečnosťTAOopen sourceSCADevSecOps
Iné jazyky:English (UK)ČeštinaHrvatskiSrpski (Latinica)Српски (Ћирилица)
- Bezpečnosť softvérovej dodávateľskej reťaze: Prečo organizácie stále zápasia
- GitLab a bezpečnosť AI: Spolupráca s výskumníkmi pre zodpovedné inovácie
- GitLab 18.1.2: Patch aktualizácia prináša vylepšenia a opravy
- Prečo je práve teraz čas na embedded DevSecOps
- GitLab Ultimate pre IBM Z: Moderný DevSecOps pre mainframy