Специалисты GitGuardian в тот же день отправили письмо в службу безопасности PyPI, однако сообщение попало в спам, что задержало реагирование на инцидент до 10 сентября.Хакер Online
Как только в GitGuardian поняли полный масштаб происходящего, компания создала issue на GitHub в более чем 570 пострадавших репозиториях и уведомила об инциденте команды безопасности GitHub, npm и PyPI.Хакер Online
Многие мейнтейнеры проектов сами сменили свои токены PyPI, откатили изменения или удалили затронутые workflow после получения уведомлений.Хакер Online
Как сообщает администратор PyPI Майк Фидлер (Mike Fiedler), мейнтейнерам пакетов PyPI, использующим GitHub Actions, рекомендуется заменить long-lived токены на short-lived токены Trusted Publishers, что может защитить от подобных атак.Хакер Online
Больше — у авторов Дзена
Как писать сайты на JSX (без React) и собирать их через Vite: Minista в деле
Python на грани: как PyPI едва не стал жертвой массового взлома — и как я избежал цифрового апокалипсиса!
Мой стартовый шаблон для вёрстки: Minista + JSX + Vite — без Gulp и Webpack