Schadsoftware in Open-Source-Paket mit 1 Million Downloads entdeckt

Kompromittierung eines beliebten Open-Source-Tools

Ein Open-Source-Paket mit über einer Million monatlichen Downloads wurde durch eine gezielte Attacke kompromittiert. Dabei nutzten unbekannte Angreifer eine Schwachstelle im Entwickler-Workflow aus, um Zugriff auf Signierschlüssel und weitere sensible Daten zu erlangen.

Schädliche Version verbreitete sich über PyPI und Docker

Am Freitag wurde eine manipulierte Version des Tools element-data veröffentlicht. Dieses Kommandozeilen-Interface dient zur Überwachung von Leistungsdaten und Anomalien in Machine-Learning-Systemen. Die schädliche Version (0.23.3) wurde über den Python Package Index (PyPI) und ein betroffenes Docker-Konto verbreitet.

Innerhalb von etwa 12 Stunden wurde die manipulierte Version wieder entfernt. Laut Entwicklern waren weder Elementary Cloud, das Elementary dbt-Paket noch andere CLI-Versionen betroffen.

Datenklau durch manipulierte Software

Sobald die schädliche Version ausgeführt wurde, durchsuchte sie infizierte Systeme nach sensiblen Daten. Dazu gehörten:

• Benutzerprofile
• Zugangsdaten für Datenbanken
• Cloud-Anbieter-Schlüssel
• API-Tokens
• SSH-Schlüssel

Empfehlung: Annahme eines Kompromisses

Die Entwickler raten allen Nutzern, die Version 0.23.3 installiert oder das betroffene Docker-Image verwendet haben, davon auszugehen, dass alle in der Umgebung zugänglichen Zugangsdaten möglicherweise kompromittiert wurden.

„Nutzer, die Version 0.23.3 installiert oder das betroffene Docker-Image ausgeführt haben, sollten annehmen, dass alle Zugangsdaten, die in der betroffenen Umgebung zugänglich waren, möglicherweise offengelegt wurden.“

Sofortige Maßnahmen empfohlen

Betroffene Nutzer sollten umgehend folgende Schritte prüfen:

• Alle kompromittierten Zugangsdaten umgehend ändern
• Systeme auf weitere Anzeichen von Manipulationen überprüfen
• Sicherheitsprotokolle und Logs analysieren