Paket open source dengan 1 juta unduhan bulanan curi kredensial
Judul asli: Open source package with 1 million monthly downloads stole user credentials
Mengapa Ini Penting
Menunjukkan risiko supply chain attack pada ekosistem open source yang vital
Paket element-data dengan 1+ juta unduhan bulanan dikompromikan peretas yang mencuri kredensial pengguna, kunci API, dan data sensitif. Versi berbahaya 0.23.3 dihapus setelah 12 jam aktif pada Sabtu.
Elementary Cloud melaporkan paket element-data versi 0.23.3 dikompromikan setelah penyerang mengeksploitasi kerentanan GitHub action developer. Malware mengumpulkan profil pengguna, kredensial warehouse, kunci cloud provider, token API, dan kunci SSH. Paket berbahaya dipublikasi ke Python Package Index dan akun Docker image, hampir tidak dapat dibedakan dari versi asli. Developer mengetahui kompromisasi dari laporan pihak ketiga dan menghapus paket dalam 3 jam. Mereka merotasi semua kredensial dan memperbaiki kerentanan. Pengguna diminta uninstall 0.23.3, install versi 0.23.4, hapus cache, cek file marker '/tmp/.trinny-security-update', dan rotasi semua kredensial yang terekspos.