パッケージ侵害されると避けるの困難やな
サプライチェーン攻撃えぐいな。開発ツールやIDEのフックまで狙うワーム型とか、自衛の難易度上がりすぎてて震えるわ
PyPIもダメなのか…
PyPI 上では PyTorch Lightning(lightning)が標的となりました > あらら...
pipの部分に誤記あり。pipは--uploaded-prior-to。ただし特定の日時しか指定できない・・・と思ってたんだが4/26(v26.1)から"P3D"(3日前)のような相対指定が出来るようになっていた。/"pip の --exclude-newer や"
security
“2026年4月29日から30日にかけて、複数の主要パッケージが連続して侵害 / npm 上では SAP CAP の @cap-js/sqlite / @cap-js/postgres / @cap-js/db-service および SAP の mbt、加えて intercom-client が、PyPI 上では PyTorch Lightning(lightning)が標的”
Mini Shai-Hulud の概要と対応指針(2026年4月末 連続パッケージ侵害) - GMO Flatt Security Blog
パッケージ侵害されると避けるの困難やな
サプライチェーン攻撃えぐいな。開発ツールやIDEのフックまで狙うワーム型とか、自衛の難易度上がりすぎてて震えるわ
PyPIもダメなのか…
PyPI 上では PyTorch Lightning(lightning)が標的となりました > あらら...
pipの部分に誤記あり。pipは--uploaded-prior-to。ただし特定の日時しか指定できない・・・と思ってたんだが4/26(v26.1)から"P3D"(3日前)のような相対指定が出来るようになっていた。/"pip の --exclude-newer や"
security
“2026年4月29日から30日にかけて、複数の主要パッケージが連続して侵害 / npm 上では SAP CAP の @cap-js/sqlite / @cap-js/postgres / @cap-js/db-service および SAP の mbt、加えて intercom-client が、PyPI 上では PyTorch Lightning(lightning)が標的”