PyPI

Łańcuch dostaw oprogramowania znowu pękł w najgorszym możliwym miejscu. Tym razem problem dotyczy elementary-data, znanego w ekosystemie dbt narzędzia publikowanego przez The Python Package Index (PyPI). Nie mówimy tu jednak o fałszywym klonie z jakiegoś niszowego konta, lecz o złośliwej wersji wypchniętej przez prawidłowy pipeline projektu. Pakiet z 1,15 mln pobrań miesięcznie wykradał użytkownikom klucze i tokeny.

Pod koniec stycznia 2026 roku firma Socket odkryła poważny incydent bezpieczeństwa dotyczący oficjalnych pakietów giełdy kryptowalut dYdX. Kilka wersji bibliotek dostępnych w repozytoriach npm i PyPI zawierało złośliwy kod, który przechwytywał dane dostępowe do portfeli użytkowników. Choć zainfekowane wersje zostały szybko usunięte, każdy deweloper, który zintegrował je ze swoją aplikacją, mógł nieświadomie narazić środki swoje i swoich klientów na kradzież.

Liczba cyberataków na projekty open source i narzędzia programistyczne stale rośnie. Coraz częściej celem są także renomowane firmy, a skutki takich incydentów mogą być poważne. Jedno z ostatnich wydarzeń pokazuje, że nawet dobrze znane organizacje muszą szczególnie dbać o zabezpieczenia swoich repozytoriów i kont. W newsie omawiamy przypadek, który jest ostrzeżeniem dla całej branży tworzenia oprogramowania.