O software de código aberto com mais de 1 milhão de downloads mensais foi comprometido depois que um agente de ameaça explorou uma vulnerabilidade no fluxo de trabalho da conta dos desenvolvedores que dava acesso às suas chaves de assinatura e outras informações confidenciais.
Na sexta-feira, invasores desconhecidos exploraram a vulnerabilidade para lançar uma nova versão do dados do elementouma interface de linha de comando que ajuda os usuários a monitorar o desempenho e as anomalias em sistemas de aprendizado de máquina. Quando executado, o pacote malicioso vasculhou os sistemas em busca de dados confidenciais, incluindo perfis de usuário, credenciais de warehouse, chaves de provedor de nuvem, tokens de API e chaves SSH, desenvolvedores disse. A versão maliciosa foi marcada como 0.23.3 e foi publicada nas contas Python Package Index e Docker dos desenvolvedores. Ele foi removido cerca de 12 horas depois, no sábado. Elementary Cloud, o pacote Elementary dbt e todas as outras versões CLI não foram afetados.
Assumir compromisso
“Os usuários que instalaram o 0.23.3, ou que extrairam e executaram a imagem afetada do Docker, devem presumir que quaisquer credenciais acessíveis ao ambiente onde foi executado podem ter sido expostas”, escreveram os desenvolvedores.
Leia o artigo completo
Comentários
Leave a comment