Злоумышленник скомпрометировал процесс сборки пакета elementary-data, загрузив вредоносную версию 0.23.3 в PyPI и Docker-образ на GitHub Container Registry. Инцидент начался 25 апреля в 2:20 мск.
Вредонос воровал конфиденциальные данные: ключи SSH, учётки AWS, токены API, криптокошельки Bitcoin, Litecoin, Dogecoin, Ethereum. Собранное архивировалось и отправлялось на сервер злоумышленника.
Разработчики удалили вредоносные файлы только через 11 часов, в 13:45. Они выпустили очищенную версию elementary-data 0.23.4, обновили токены PyPI и GitHub, отозвали скомпрометированный workflow.
Пользователям elementary-data 0.23.3 нужно срочно обновиться до версии 0.23.4. Также удалите кеш и файл .trinny-security-update — его наличие означает, что вредонос запускался.
0 комментариев