Paket open source 1 juta unduhan bulanan curi kredensial pengguna
Judul asli: Open source package with 1 million monthly downloads stole user credentials
Mengapa Ini Penting
Insiden ini menunjukkan risiko keamanan supply chain dalam ekosistem open source
Paket element-data dengan 1 juta unduhan bulanan diretas, versi 0.23.3 yang berbahaya mencuri kredensial pengguna, kunci API, dan data sensitif melalui kerentanan GitHub action selama 12 jam.
Penyerang tidak dikenal mengeksploitasi kerentanan dalam GitHub action pengembang element-data untuk mengakses kunci penandatanganan dan informasi sensitif. Mereka merilis versi berbahaya 0.23.3 yang mencuri profil pengguna, kredensial warehouse, kunci cloud provider, token API, dan kunci SSH. Paket berbahaya dipublikasikan ke Python Package Index dan akun Docker image, kemudian dihapus 12 jam kemudian setelah laporan pihak ketiga. Pengembang Elementary Cloud telah merotasi semua kredensial, memperbaiki kerentanan, dan mengaudit semua GitHub action lainnya. Pengguna yang menginstal versi 0.23.3 diminta segera uninstall, upgrade ke versi 0.23.4, hapus file cache, periksa file marker malware, dan rotasi semua kredensial yang terpapar.