1
NewsletterOficial
1 min de leitura ·

Campanha maliciosa Shai-Hulud compromete 19 pacotes do PyPI voltados a bioinformática e ciência de dados

O malware captura tokens do GitHub e GitHub Actions, credenciais de npm, PyPI, RubyGems, JFrog, AWS, GCP, Azure, Kubernetes e Vault, além de arquivos como .env, .npmrc, .pypirc e configurações do Claude/MCP. A recomendação é rotacionar todas as credenciais, restaurar ambientes com backups seguros e procurar por pacotes com executáveis .pth. A lista dos pacotes afetados, que somam centenas de milhares de downloads, está logo abaixo.

  • bramin@0.0.2
  • bramin@0.0.3
  • bramin@0.0.4
  • cmd2func@0.2.2
  • cmd2func@0.2.3
  • coolbox@0.4.1
  • coolbox@0.4.2
  • dynamo-release@1.5.4
  • executor-engine@0.3.4
  • executor-engine@0.3.5
  • executor-http@0.1.3
  • executor-http@0.1.4
  • funcdesc@0.2.2
  • funcdesc@0.2.3
  • magique@0.6.8
  • magique@0.6.9
  • magique-ai@0.4.4
  • magique-ai@0.4.5
  • mrbios@0.1.1
  • mrbios@0.1.2
  • napari-ufish@0.0.2
  • napari-ufish@0.0.3
  • nucbox@0.1.2
  • nucbox@0.1.3
  • okite@0.0.7
  • okite@0.0.8
  • pantheon-agents@0.6.1
  • pantheon-agents@0.6.2
  • pantheon-toolsets@0.5.5
  • pantheon-toolsets@0.5.6
  • spateo-release@1.1.2
  • synago@0.1.1
  • synago@0.1.2
  • ufish@0.1.2
  • ufish@0.1.3
  • uprobe@0.1.3
  • uprobe@0.1.4
Carregando publicação patrocinada...