Ataque de cadeia de suprimentos atinge Ultralytics: Análise de incidente de segurança do PyPI
O projeto Python Ultralytics sofreu recentemente um ataque de cadeia de suprimentos. Os atacantes comprometeram os fluxos de trabalho do GitHub Actions do projeto e roubaram um token de API do PyPI, resultando em versões contaminadas 8.3.41, 8.3.42, 8.3.45 e 8.3.46. O ataque não explorou uma vulnerabilidade do PyPI, mas sim o cache do GitHub Actions. O PyPI, utilizando Publicação Confiável e logs de transparência do Sigstore, identificou e removeu rapidamente o malware. O incidente destacou deficiências nas configurações de tokens de API e ambientes do GitHub. O artigo enfatiza a segurança de forjas de software e fluxos de trabalho de compilação/publicação, fornecendo recomendações de segurança para desenvolvedores: usar Publicações Confiáveis, bloquear dependências, evitar padrões inseguros e habilitar autenticação multifatorial.