Package open source volé 1M identifiants utilisateurs mensuels
Original : Open source package with 1 million monthly downloads stole user credentials
Pourquoi c'est important
Démontre les risques de sécurité dans l'écosystème open source populaire
Le package element-data avec 1 million de téléchargements mensuels a été compromis. Les attaquants ont exploité une vulnérabilité GitHub pour publier la version malveillante 0.23.3 qui volait les identifiants utilisateurs.
Des attaquants inconnus ont compromis element-data, un outil CLI pour surveiller les systèmes de machine learning, en exploitant une vulnérabilité dans les actions GitHub des développeurs. La version malveillante 0.23.3 collectait les profils utilisateurs, identifiants d'entrepôts de données, clés de fournisseurs cloud, tokens API et clés SSH. Le package était publié sur Python Package Index et Docker pendant 12 heures avant suppression. Les développeurs recommandent de vérifier la version installée, désinstaller 0.23.3, installer 0.23.4, supprimer les fichiers cache, rechercher le fichier marqueur /tmp/.trinny-security-update et faire rotation de tous les identifiants exposés.