🚨 PyPI снова взломали. Теперь под ударом пакет telnyx Очередной удар по supply chain от TeamPCP. И это уже не единичный случай - это целая атака по экосистеме разработчиков. Что произошло: • Популярный Python-пакет telnyx на PyPI был скомпрометирован • Вредоносный код внедрили прямо в официальные версии • Payload срабатывает при обычном import — без действий пользователя Что делает malware: • крадёт SSH-ключи, токены, .env, криптокошельки • шифрует и отправляет данные на сервер злоумышленников • закрепляется в системе (persistency) • может распространяться дальше по инфраструктуре Это не просто вредоносный пакет - это полноценаая атака: 1. Сначала взломали Trivy (инструмент безопасности) 2. Через него украли токены CI/CD 3. Затем заразили npm (CanisterWorm) 4. Потом PyPI (LiteLLM, telnyx и др.) 👉 Один заражённый пакет = полный доступ к инфраструктуре Теперь правило №1: • фиксируй версии (pin dependencies) • проверяй хэши • не доверяй последним релизам вслепую Это уже не баги. Это война за supply chain. https://www.aikido.dev/blog/telnyx-pypi-compromised-teampcp-canisterworm 🐍 Python полезные ресурсы 🚀Max @pythonl