895 - 一般カタルーニャ人 2023/01/02(月) 13:40:47.18 ID:WUTGRjXO0
torchtriton という PyTorch が依存する (PyPI に公開されてない) 内製ライブラリと同名のマルウェア入り PyPI が公開され、pip は内製ライブラリよりも PyPI の方を優先する仕様なので、結果 pytorch を入れただけでデータ抜かれるとかいう事になってたらしい 怖すぎる……
これ普通にほかのプロジェクトでも余裕でサプライチェーン攻撃やられそうでガチで怖いな………
普通に pip の仕様が悪いんだけど Issue (https://t.co/4phHgqv61z) はずっと開いたまま
SSH 鍵などなど Linux の重要ファイルほぼすべてぶっこ抜かれるのも洒落にならなさすぎる………
https://twitter.com/izutorishima/status/1609412163873169409
いかんでしょ