月間100万DLのOSSパッケージが認証情報窃取
原題: Open source package with 1 million monthly downloads stole user credentials
なぜ重要か
人気OSSの供給チェーン攻撃により機械学習開発環境の広範囲な認証情報漏洩リスクが顕在化
機械学習システム監視ツール「element-data」の開発者アカウントが攻撃され、悪意あるバージョン0.23.3が公開された。このパッケージはユーザーの認証情報やAPIキー、SSH鍵などの機密データを窃取。約12時間後に削除されたが、月間100万回以上ダウンロードされる人気パッケージのため影響は甚大。
機械学習システムの性能監視と異常検知を支援するコマンドラインインターフェース「element-data」が攻撃者により悪用された。攻撃者は開発者のGitHubアクションの脆弱性を悪用し、プルリクエストに悪意のあるコードを投稿することで、開発者アカウント内でbashスクリプトを実行させた。これにより署名キーやアカウントトークンなどの機密情報にアクセスし、正規版とほぼ区別がつかない悪意のあるバージョン0.23.3をPython Package IndexとDockerイメージアカウントに公開した。悪意のあるパッケージは実行時にユーザープロファイル、データベース認証情報、クラウドプロバイダーキー、APIトークン、SSH鍵を収集した。開発者は第三者からの報告で侵害を知り、3時間以内にパッケージを削除し、全ての認証情報をローテーションした。Elementary Cloud、Elementary dbtパッケージ、その他のCLIバージョンは影響を受けていない。開発者は影響を受けたユーザーに対し、バージョン確認、アンインストールと安全版への更新、キャッシュファイル削除、マーカーファイルの確認、認証情報のローテーション、セキュリティチームへの連絡を緊急に要請している。