Stor cyberattack mot AI-företag genom öppen källkod
Över 170 kodpaket har infekterats med skadlig kod som specifikt riktar sig mot AI-verktyg och molntjänster - bland de drabbade finns Mistral AI och Guardrails AI. Attacken, kallad "Mini Shai-Hulud", har stulit utvecklaruppgifter, API-nyckler och autentiseringsuppgifter från populära AI-plattformar.
Djupdykning
När hackers infiltrerar GitHub Actions-flöden för att skjuta ut gift direkt från projektens egna releasepipelines har vi gått från knackning på bakdörren till att helt enkelt använda husnycklarna. Det verkligt skrämmande här är inte bara omfattningen – 170 paket från stora namn som Mistral och Tanstack – utan hur TeamPCP lyckades kapa legitima automatiserade processer som utvecklare litar blint på. GitHub Actions är designat för att vara utvecklarnas autopilot, men när den autopiloten blir kapade hamnar skadlig kod i miljontals projekt utan att någon märker något. Det här är varför "trusted by default" snart blir lika naivt som att lämna nyckeln under dörrmattan när alla grannar vet var den ligger.