मासिक 10 लाख डाउनलोड वाले ओपन सोर्स पैकेज ने चुराए यूजर क्रेडेंशियल
मूल शीर्षक: Open source package with 1 million monthly downloads stole user credentials
यह क्यों महत्वपूर्ण है
ओपन सोर्स supply chain attacks में वृद्धि दिखाता है, डेवलपर security practices की समीक्षा जरूरी।
element-data नामक ओपन सोर्स पैकेज के मासिक 10 लाख से अधिक डाउनलोड होते हैं। हमलावरों ने GitHub action की कमजोरी का फायदा उठाकर डेवलपर अकाउंट में सेंध लगाई और मैलिसियस वर्जन 0.23.3 रिलीज किया। यह पैकेज सिस्टम से क्रेडेंशियल चुराता था। 12 घंटे बाद हटा दिया गया।
Elementary Cloud के element-data CLI पैकेज में साइबर हमला हुआ है। यह machine learning सिस्टम की परफॉर्मेंस मॉनिटर करने वाला टूल है जिसके मासिक 10 लाख से ज्यादा डाउनलोड होते हैं। हमलावरों ने डेवलपर के GitHub action में vulnerability का फायदा उठाया। pull request में मैलिसियस कोड पोस्ट करके bash script चलाई और signing keys व अन्य संवेदनशील जानकारी हासिल की। इससे वर्जन 0.23.3 नाम से नकली पैकेज बनाया गया जो असली जैसा दिखता था। यह पैकेज user profiles, warehouse credentials, cloud provider keys, API tokens और SSH keys चुराता था। शुक्रवार को रिलीज हुआ और शनिवार को हटा दिया गया। डेवलपर्स ने तुरंत सभी credentials rotate किए और vulnerability ठीक की। उन्होंने users से कहा है कि 0.23.3 इंस्टॉल करने वालों को तुरंत uninstall करके 0.23.4 लगाना चाहिए और सभी credentials बदलने चाहिए।