Пакет с открытым исходным кодом, который ежемесячно загружают 1 миллион раз, украл учетные данные пользователя
1 минута чтения
Разработчики призывают всех разработчиков, установивших версию 0.23.3, немедленно предпринять следующие шаги:
1. Проверьте установленную версию:
pip show elementary-data | grep Version2. Если версия 0.23.3, удалите ее и замените безопасной версией:
pip uninstall elementary-data
pip install elementary-data==0.23.4В ваших требованиях и файлах блокировки явно закрепите элементарные данные == 0.23.4.
3. Удалите файлы кэша, чтобы избежать артефактов.
4. Проверьте наличие файла маркера вредоносного ПО на любом компьютере, где мог быть запущен CLI: если этот файл присутствует, полезная нагрузка выполняется на этом компьютере.
macOS / Linux: /tmp/.trinny-security-update
Windows: %TEMP%\\.trinny-security-update5. Поменяйте все учетные данные, которые были доступны из среды, в которой работала 0.23.3, — профили dbt, учетные данные хранилища, ключи поставщиков облачных услуг, токены API, ключи SSH и содержимое любых файлов .env. Особенно уязвимы программы-исполнители CI/CD, поскольку они обычно имеют широкий набор секретов, монтируемых во время выполнения.
6. Свяжитесь со своей командой безопасности, чтобы обнаружить несанкционированное использование открытых учетных данных. Соответствующие МОК указаны внизу этого поста.
За последнее десятилетие атаки на репозитории с открытым исходным кодом через цепочки поставок стали все более распространенными. В некоторых случаях им удалось достичь цепочки компрометаций, поскольку вредоносный пакет приводит к взлому пользователей и, следовательно, к нарушениям, возникающим в результате компрометации пользовательской среды.
HD Moore, хакер с более чем четырехдесятилетним опытом, а также основатель и генеральный директор runZero, сказал, что рабочие процессы репозиториев, разработанные пользователями, такие как действия GitHub, печально известны своими уязвимостями в хостинге.
Это «серьезная проблема для проектов с открытым исходным кодом и открытыми репозиториями», — сказал он. «Очень сложно не случайно создать опасные рабочие процессы, которые могут быть использованы злоумышленником с помощью запроса на включение».
Он сказал, что этот пакет можно использовать для проверки таких уязвимостей.
