Takayuki Shimizukawa@shimizukawa
PyPIのパッケージ乗っ取りが起きていたよう。
パッケージ作者のアカウントが窃取されて、ctxというパッケージに実行環境の環境変数を外部サイトに送信す脆弱性を仕込まれ、AWS_* などのトークンが漏洩する。既に当該パッケージはPyPIから削除済み。
https://python-security.readthedocs.io/pypi-vuln/index-2022-05-24-ctx-domain-takeover.html…
Retweeted by yumano
retweeted at 08:25:08