Uma ferramenta de análise de dados em Python ficou descontrolada por meio dia, roubando chaves e tokens.

Um cibercriminoso desconhecido carregou uma versão modificada (0.23.3) do elementary-data, um utilitário de monitoramento de dados, na plataforma PyPI. A versão maliciosa do aplicativo rouba credenciais, incluindo chaves SSH, credenciais de acesso a recursos da AWS, tokens de API e carteiras de criptomoedas. O desenvolvedor legítimo removeu o pacote comprometido, mas ele permaneceu acessível publicamente por meio dia e provavelmente causou danos.

Fonte da imagem: Towfiqu barbhuiya / unsplash.com

O atacante explorou uma vulnerabilidade em um dos fluxos de trabalho do GitHub Actions do projeto elementary-data. Usando o GITHUB_TOKEN fornecido automaticamente, ele criou uma solicitação de pull request para um pacote legítimo contendo código malicioso e conseguiu liberar automaticamente uma nova versão do pacote. Este pacote foi projetado para coletar uma ampla gama de dados sensíveis: chaves SSH, credenciais de recursos da nuvem Amazon Web Services (AWS), contêineres Docker e Kubernetes e arquivos de carteiras de criptomoedas, incluindo Bitcoin, Litecoin, Dogecoin e Ethereum. Os dados roubados foram compilados em um arquivo trin.tar.gz e enviados para um servidor controlado pelo atacante.

O cibercriminoso usou uma conta do GitHub recém-registrada e, às 2h20 da manhã, horário de Moscou, em 25 de abril, carregou uma versão maliciosa do elementary-data no PyPI. Às 2h24 da manhã, ele carregou uma imagem Docker infectada contendo este pacote no Registro de Contêineres do GitHub, expandindo assim o vetor de ataque. Os administradores do projeto Elementary removeram os arquivos maliciosos somente às 13h45 daquele mesmo dia, mais de 11 horas depois, e substituíram o pacote por uma versão limpa do elementary-data 0.23.4. O pacote Elementary dbt associado, os recursos do Elementary Cloud e outras versões do próprio projeto não foram afetados pelo incidente, informaram os desenvolvedores.

Recomenda-se fortemente que os usuários que instalaram a versão infectada do elementary-data 0.23.3 a desinstalem e a substituam pela versão segura 0.23.4. Eles também devem excluir os arquivos de cache e o diretório “.O arquivo “trinny-security-update” do pacote malicioso — se esse arquivo estiver presente no sistema, significa que o malware estava sendo executado nele. Os desenvolvedores da Elementary atualizaram o token de publicação do PyPI, o token do GitHub e as credenciais.Os dados do GitHub Container Registry foram removidos, o fluxo de trabalho vulnerável do GitHub Actions foi corrigido e todos os outros foram verificados.

admin

Postagens recentes

A UBTech apresentou o U1, um robô doméstico com pele de silicone e inteligência artificial, disponível nas versões masculina e feminina.

A empresa chinesa UBTech Robotics apresentou o U1, um robô humanoide para o consumidor projetado…

1 hora atrás

O Google apresentou o Gemini, um carro que enxerga o mundo através de uma câmera veicular.

O Google demonstrou um recurso experimental de sua rede neural Gemini que permite que seu…

1 hora atrás

O preço do Bitcoin despenca para a mínima em 21 meses.

O Bitcoin atingiu a mínima em 21 meses, com o sentimento dos investidores afetado pela…

1 hora atrás

A Valve imortaliza o triunfo da Team Spirit no IEM Cologne Major 2026 em Counter-Strike 2.

O recente torneio de esports IEM Cologne Major 2026 de Counter-Strike 2, realizado em Colônia,…

2 horas atrás

As máquinas irão suprir a escassez de mão de obra humana: o Japão planeja implantar 10 milhões de robôs até 2040.

Quando se fala em substituir humanos por robôs, nem todos consideram que eles serão cada…

2 horas atrás