هجوم سلسلة التوريد يستهدف Ultralytics: تحليل لحادث أمني في PyPI
2024-12-14
تعرض مشروع Python Ultralytics مؤخرًا لهجوم سلسلة توريد. قام المُهاجمون باختراق سير عمل GitHub Actions الخاصة بالمشروع وسرقة رمز API الخاص بـ PyPI، مما أدى إلى تلويث الإصدارات 8.3.41 و 8.3.42 و 8.3.45 و 8.3.46. لم يستغل الهجوم ثغرة أمنية في PyPI، بل استهدف ذاكرة التخزين المؤقت لـ GitHub Actions. استخدم PyPI النشر الموثوق وسجلات الشفافية Sigstore لتحديد وإزالة البرامج الضارة بسرعة. سلط الحادث الضوء على أوجه القصور في تكوين رموز API وبيئات GitHub. تؤكد المقالة على أهمية تأمين منصات البرمجيات وسير عمل البناء/النشر، وتقدم توصيات أمنية للمطورين: استخدام الناشرين الموثوقين، وقفل التبعيات، وتجنب الأنماط غير الآمنة، وتمكين المصادقة متعددة العوامل.