Post #4259

ПиПиАй Обычно не пишем о фейковых репозиториях, но эти умудрились собрать более 14000 загрузок, прежде чем их удалили из PyPI. Злоумышленники залили 20 поддельных библиотек, маскируя их под утилиты для работы со временем и клиентские SDK для облачных сервисов. Самыми популярными оказались acloud-client с 5496 загрузками, snapshot-photo с 2448 и enumer-iam с 1254. Особенно неприятно, что эти пакеты были включены в зависимости GitHub-проекта accesskey_tools с 519 звёздами, что увеличило радиус поражения. Вредоносный код позволял красть чувствительные данные, включая облачные токены доступа. Все найденные библиотеки уже удалены из PyPI, но осадочек остался. НеКасперский