Package open source avec 1M de téléchargements vole les identifiants
Original : Open source package with 1 million monthly downloads stole user credentials
Pourquoi c'est important
Démontre la vulnérabilité critique de l'écosystème open source
Le package element-data compromis après exploitation d'une vulnérabilité GitHub. La version 0.23.3 malveillante récupérait profils utilisateurs, clés API, tokens SSH. Supprimée après 12h.
Des attaquants ont exploité une vulnérabilité dans les GitHub Actions des développeurs d'element-data pour accéder aux clés de signature et publier une version malveillante 0.23.3. Le package compromis récupérait données sensibles : profils utilisateurs, identifiants d'entrepôts, clés de fournisseurs cloud, tokens API et clés SSH. La version malveillante était quasi-indistinguable de la légitime. Les développeurs recommandent aux utilisateurs de vérifier leur version, désinstaller 0.23.3, installer 0.23.4, supprimer les caches, vérifier le fichier marqueur /tmp/.trinny-security-update, et faire tourner toutes les credentials exposées.