Pythonパッケージを管理するPyPIがユーザーのデータをアメリカ司法省に開示したことを明らかに

2023/05/25 6 users PYPI psf Pythonパッケージ アメリカ司法省 説明

PythonパッケージのアップロードプラットフォームであるPython Package Index(PyPI)を運営するPython Software Foundation(PSF)が、2023年3月から4月にかけて、アメリカ司法省からユーザーデータを要求する召喚状を3回発行されたことを明らかにしました。PSFはこの召喚状に関連する法的状況について説明を受けていないに... 続きを読む

450超の悪意あるPyPIパッケージを発見、Python開発者の暗号資産が標的

2023/02/16 11 users 標的 タイポスクワッティング 暗号資産 Phylum PYPI

Phylumはこのほど、「Phylum Discovers Revived Crypto Wallet Address Replacement Attack」において、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されていることを伝えた。タイポスクワッティングによるサイバー攻撃とされ、クリッパーマルウェアをPython開発者のシステムに感染させる4... 続きを読む

PyPIからAWS認証情報を窃取するPythonパッケージが複数見つかる

2022/06/27 16 users PYPI クレデンシャル Pythonパッケージ リポジトリ

Sonatypeは6月23日(米国時間)、「Python packages upload your AWS keys, env vars, secrets to the web」において、PyPI (Python Package Index)リポジトリからAWSのクレデンシャルを窃取する複数のPytonパッケージが発見されたと伝えた。見つかったPythonパッケージはさらに収集した情報をリモートエンドホストにエク... 続きを読む

Pythonパッケージを適切に管理するベストプラクティスとは？ | マイナビニュース

2020/11/29 20 users ベストプラクティス PYPI インス リポジトリ Python

Pythonの魅力の1つが豊富なパッケージ群を持っていることだ。しかし、その多種多様なパッケージを適切に管理する方法についてはよく考える必要がある。ほとんどのPythonパッケージはPython Package Index（PyPI）と呼ばれるリポジトリに登録されているが、問題なのはこのリポジトリから実際にパッケージを取得してインス... 続きを読む

Two malicious Python libraries caught stealing SSH and GPG keys | ZDNet

2019/12/04 10 users that were keys ZDNet

The Python security team removed two trojanized Python libraries from PyPI (Python Package Index) that were caught stealing SSH and GPG keys from the projects of infected developers. The two libraries were created by the same developer and mimicked other more popular libraries -- using a techniqu... 続きを読む