1 मिलियन डाउनलोड वाले ओपन सोर्स पैकेज ने चुराई यूजर क्रेडेंशियल्स
मूल शीर्षक: Open source package with 1 million monthly downloads stole user credentials
यह क्यों महत्वपूर्ण है
ओपन सोर्स supply chain attacks की बढ़ती समस्या दिखाता है जो millions users को प्रभावित करती है।
element-data नामक मशीन लर्निंग टूल के version 0.23.3 में मैलवेयर मिला जो यूजर प्रोफाइल्स, API टोकन, SSH keys और क्लाउड प्रोवाइडर keys चुराता था। हमलावरों ने GitHub action की vulnerability का फायदा उठाया।
मासिक 1 मिलियन से अधिक डाउनलोड वाले ओपन सोर्स पैकेज element-data में सुरक्षा समस्या पाई गई। यह command-line interface मशीन लर्निंग सिस्टम की performance और anomalies को monitor करने के लिए इस्तेमाल होता है। शुक्रवार को अज्ञात हमलावरों ने developers के GitHub action में vulnerability का फायदा उठाकर signing keys तक पहुंच हासिल की। हमलावरों ने malicious pull request के जरिए bash script चलाया जो sensitive data चुराता था। इसके बाद उन्होंने version 0.23.3 publish किया जो legitimate package जैसा दिखता था लेकिन user profiles, warehouse credentials, cloud provider keys, API tokens और SSH keys चुराता था। यह malicious version लगभग 12 घंटे तक Python Package Index और Docker पर उपलब्ध रहा। Developers ने तीसरे पक्ष की रिपोर्ट से इस compromise के बारे में जाना और तुरंत package को हटा दिया। उन्होंने सभी credentials को rotate किया और vulnerability को ठीक किया।