Home Segurança Pacote de código aberto com 1 milhão de downloads mensais roubou credenciais de usuários
Segurança

Pacote de código aberto com 1 milhão de downloads mensais roubou credenciais de usuários

Share
Share

O software de código aberto com mais de 1 milhão de downloads mensais foi comprometido depois que um agente de ameaça explorou uma vulnerabilidade no fluxo de trabalho da conta dos desenvolvedores que dava acesso às suas chaves de assinatura e outras informações confidenciais.

Na sexta-feira, invasores desconhecidos exploraram a vulnerabilidade para lançar uma nova versão do dados do elementouma interface de linha de comando que ajuda os usuários a monitorar o desempenho e as anomalias em sistemas de aprendizado de máquina. Quando executado, o pacote malicioso vasculhou os sistemas em busca de dados confidenciais, incluindo perfis de usuário, credenciais de warehouse, chaves de provedor de nuvem, tokens de API e chaves SSH, desenvolvedores disse. A versão maliciosa foi marcada como 0.23.3 e foi publicada nas contas Python Package Index e Docker dos desenvolvedores. Ele foi removido cerca de 12 horas depois, no sábado. Elementary Cloud, o pacote Elementary dbt e todas as outras versões CLI não foram afetados.

Assumir compromisso

“Os usuários que instalaram o 0.23.3, ou que extrairam e executaram a imagem afetada do Docker, devem presumir que quaisquer credenciais acessíveis ao ambiente onde foi executado podem ter sido expostas”, escreveram os desenvolvedores.

Leia o artigo completo

Comentários

Share

Leave a comment

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Related Articles
Segurança

Ordem executiva aumenta prazo para abandonar a criptografia vulnerável quântica

A Casa Branca está a reduzir drasticamente o prazo para as agências...

Segurança

Microsoft detecta novo malware de autopropagação para roubo de criptomoedas

A Microsoft afirma ter detectado um novo malware de autopropagação que se...

Segurança

Violação massiva espalha credenciais para milhares de redes confidenciais

Os pesquisadores descobriram uma violação massiva dos firewalls da Fortinet que deu...

Segurança

"Perigoso" Modelos de IA estão chegando, não importa o que aconteça

No final da semana passada, a Anthropic lançou seu novo Claude Fábula...