Uma ferramenta de análise de dados em Python ficou descontrolada por meio dia, roubando chaves e tokens.

Um cibercriminoso desconhecido carregou uma versão modificada (0.23.3) do elementary-data, um utilitário de monitoramento de dados, na plataforma PyPI. A versão maliciosa do aplicativo rouba credenciais, incluindo chaves SSH, credenciais de acesso a recursos da AWS, tokens de API e carteiras de criptomoedas. O desenvolvedor legítimo removeu o pacote comprometido, mas ele permaneceu acessível publicamente por meio dia e provavelmente causou danos.

Fonte da imagem: Towfiqu barbhuiya / unsplash.com

O atacante explorou uma vulnerabilidade em um dos fluxos de trabalho do GitHub Actions do projeto elementary-data. Usando o GITHUB_TOKEN fornecido automaticamente, ele criou uma solicitação de pull request para um pacote legítimo contendo código malicioso e conseguiu liberar automaticamente uma nova versão do pacote. Este pacote foi projetado para coletar uma ampla gama de dados sensíveis: chaves SSH, credenciais de recursos da nuvem Amazon Web Services (AWS), contêineres Docker e Kubernetes e arquivos de carteiras de criptomoedas, incluindo Bitcoin, Litecoin, Dogecoin e Ethereum. Os dados roubados foram compilados em um arquivo trin.tar.gz e enviados para um servidor controlado pelo atacante.

O cibercriminoso usou uma conta do GitHub recém-registrada e, às 2h20 da manhã, horário de Moscou, em 25 de abril, carregou uma versão maliciosa do elementary-data no PyPI. Às 2h24 da manhã, ele carregou uma imagem Docker infectada contendo este pacote no Registro de Contêineres do GitHub, expandindo assim o vetor de ataque. Os administradores do projeto Elementary removeram os arquivos maliciosos somente às 13h45 daquele mesmo dia, mais de 11 horas depois, e substituíram o pacote por uma versão limpa do elementary-data 0.23.4. O pacote Elementary dbt associado, os recursos do Elementary Cloud e outras versões do próprio projeto não foram afetados pelo incidente, informaram os desenvolvedores.

Recomenda-se fortemente que os usuários que instalaram a versão infectada do elementary-data 0.23.3 a desinstalem e a substituam pela versão segura 0.23.4. Eles também devem excluir os arquivos de cache e o diretório “.O arquivo “trinny-security-update” do pacote malicioso — se esse arquivo estiver presente no sistema, significa que o malware estava sendo executado nele. Os desenvolvedores da Elementary atualizaram o token de publicação do PyPI, o token do GitHub e as credenciais.Os dados do GitHub Container Registry foram removidos, o fluxo de trabalho vulnerável do GitHub Actions foi corrigido e todos os outros foram verificados.

admin

Postagens recentes

Uma startup americana tornou-se a primeira no mundo a extrair eletricidade diretamente de uma reação de fusão nuclear.

A startup americana Realta Fusion anunciou uma demonstração de conversão direta de plasma em eletricidade…

17 minutos atrás

A Meta começará a cobrar por um recurso de óculos inteligentes que funciona sem seus servidores.

A Meta✴ anunciou discretamente que o recurso Foco na Conversa, integrado aos seus óculos inteligentes,…

30 minutos atrás

A Tesla contratou um veterano da Intel para chefiar sua gigantesca fábrica de chips em Terafab.

O fundador e CEO da SpaceX, Elon Musk, não escondeu seu desejo de colaborar com…

30 minutos atrás

Agora é possível definir a Alice AI como assistente de voz padrão no Android.

Agora é possível definir a Alice AI como assistente padrão em dispositivos Android e invocá-la…

43 minutos atrás

Trump lucrou US$ 1,2 bilhão com projetos de criptomoedas, enquanto seus investidores perderam dinheiro.

O presidente dos EUA, Donald Trump, lucrou quase US$ 1,2 bilhão com suas startups de…

55 minutos atrás

Tim Cook se juntou às negociações com a UE para salvar o lançamento de uma Siri com inteligência artificial mais inteligente.

Os legisladores europeus estão a moldar ativamente o quadro regulamentar no qual as empresas de…

55 minutos atrás