导读: 一个每月被下载 9700 万次的 Python 包被投毒了。攻击者上传的恶意版本能窃取你的 SSH 密钥、云服务凭证、Kubernetes 配置,甚至加密钱包。中毒版本仅存活了 1 小时就因为攻击代码的 bug 暴露了——但这一小时内,已经有人中招了。
供应链攻击:从依赖...