GlassWorm恶意软件活动正被用于持续攻击，通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包，通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后，将恶意代码变基到目标仓库的默认分支并强制推送更改，同时保持原始提交信息、作者和日期不变。这种 ...

最新上传的LiteLLM Python 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为340万次，许多自动安装新版本的程序员已经遭殃。 社区 ...

尽管46分钟恶意版本就被移除， 但鉴于其单日300万+次、单月近亿次的下载量，仍对下游数千个AI项目造成极大影响 。公开报道显示，攻击者TeamPCP声称已窃取数 十万台设备 的数据。此次事件基本脉络如下（UTC时间）： ...

大家好，欢迎来到 Crossin 的编程教室。作为每天都在用 Python 工作的开发者，我最常听到大家的吐槽就是：“Python ...

预训练已经成为自然语言处理任务的重要组成部分，为大量自然语言处理任务带来了显著提升。UER-py（Universal Encoder Representations）是一个用于对通用语料进行预训练并对下游任务进行微调的工具包。UER-py遵循模块化的设计原则。通过模块的组合，用户能迅速精准 ...

凌晨三点，程序员小李收到一条飞书消息。发件人显示是已离职的前同事老王，但回复速度比生前快了三倍，措辞间还带着老王特有的"甩锅味"——先打问号，再推给测试部门，最后补一句"这个需求得产品再明确下"。

编辑｜冷猫这是一件极其严肃的软件安全事件。今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。首先提请各位开发者检查自己的 ...

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。 如涉及侵权，请及时与我们联系，我们将尽快处理并删除 ...

3月24日，月均安装量达9500万次的开源AI工具LiteLLM在PyPI仓库发布的两个版本（1.82.7和1.82.8）遭供应链投毒。这两个恶意版本携带复杂的三阶段攻击负载，能窃取SSH密钥、云凭据等敏感数据，并利用.pth文件实现自动触发，隐蔽性极高。攻击由黑客组织TeamPCP发起，其通过此前入侵的Trivy工具获取了LiteLLM的发布权限。受影响用户应立即检查版本，更换所有相关密钥，并降 ...

针对流行扫描工具Trivy的供应链攻击背后的威胁行为者，被怀疑正在进行后续攻击，导致大量npm包遭到破坏，其中包含一个此前未被记录的自传播蠕虫病毒，名为CanisterWorm。

过去十年间，Kubernetes已经演变为现代IT基础设施的核心平台之一。它通过可扩展的架构与声明式的资源定义模型，让企业能够管理大规模、高度分布式的容器化负载，并能够自动化各类运维任务。