Ultralyticsへのサプライチェーン攻撃:PyPIセキュリティインシデント分析
2024-12-14
PythonプロジェクトUltralyticsは最近、サプライチェーン攻撃を受けました。攻撃者はプロジェクトのGitHub Actionsワークフローを侵害し、PyPI APIトークンを盗み、バージョン8.3.41、8.3.42、8.3.45、8.3.46が汚染されました。この攻撃はPyPIの脆弱性を悪用したものではなく、GitHub Actionsキャッシュを標的にしました。PyPIは、信頼できる公開とSigstore透明性ログを利用して、悪意のあるソフトウェアを迅速に特定し、削除しました。このインシデントは、APIトークンとGitHub環境設定の欠陥を浮き彫りにしました。この記事では、ソフトウェアフォージとビルド/公開ワークフローのセキュリティ確保の重要性を強調し、開発者向けにセキュリティに関する推奨事項(信頼できるパブリッシャーの使用、依存関係のロック、安全でないパターンの回避、多要素認証の有効化など)を提供しています。