Attaque de la chaîne d'approvisionnement affectant Ultralytics : Analyse d'un incident de sécurité PyPI
Le projet Python Ultralytics a récemment subi une attaque de la chaîne d'approvisionnement. Les attaquants ont compromis les workflows GitHub Actions du projet et volé un jeton d'API PyPI, entraînant des versions contaminées : 8.3.41, 8.3.42, 8.3.45 et 8.3.46. L'attaque n'a pas exploité de faille de sécurité dans PyPI, mais ciblé le cache GitHub Actions. PyPI, utilisant la publication de confiance et les journaux de transparence Sigstore, a rapidement identifié et supprimé les logiciels malveillants. L'incident a mis en évidence des lacunes dans les configurations des jetons d'API et des environnements GitHub. L'article souligne l'importance de sécuriser les forges de logiciels et les workflows de build/publication, fournissant aux développeurs des recommandations de sécurité : utiliser des éditeurs de confiance, verrouiller les dépendances, éviter les modèles non sécurisés et activer l'authentification multifactorielle.