Software open source con 1 milione di download mensili compromesso: rubati dati sensibili degli utenti

Attacco informatico colpisce un popolare strumento open source

Un pacchetto open source con oltre 1 milione di download mensili è stato compromesso dopo che un attaccante ha sfruttato una vulnerabilità nei flussi di lavoro degli sviluppatori. Questo ha permesso l’accesso alle chiavi di firma e ad altre informazioni sensibili.

Dettagli dell’attacco e delle vulnerabilità

Venerdì scorso, sconosciuti attaccanti hanno sfruttato la vulnerabilità per distribuire una nuova versione del pacchetto element-data. Questo strumento, un’interfaccia a riga di comando (CLI), aiuta gli utenti a monitorare le prestazioni e le anomalie nei sistemi di machine learning.

Quando eseguito, il pacchetto malevolo 0.23.3 raccoglieva dati sensibili dai sistemi compromessi, tra cui:

• Profili utente
• Credenziali di archiviazione dati
• Chiavi dei provider cloud
• Token API
• Chiavi SSH

La versione compromessa è stata pubblicata sia su Python Package Index che sugli account Docker degli sviluppatori. È stata rimossa dopo circa 12 ore, sabato mattina.

Sistemi non interessati

Secondo gli sviluppatori, Elementary Cloud, il pacchetto Elementary dbt e tutte le altre versioni della CLI non sono state colpite dall’attacco.

Raccomandazioni per gli utenti

«Gli utenti che hanno installato la versione 0.23.3 o che hanno eseguito l’immagine Docker compromessa devono assumere che qualsiasi credenziale accessibile nell’ambiente in cui è stato eseguito il pacchetto possa essere stata esposta»

Implicazioni per la sicurezza open source

Questo episodio solleva nuove preoccupazioni sulla sicurezza dei pacchetti open source, sempre più utilizzati nelle infrastrutture IT aziendali. Gli attacchi a catena come questo possono avere ripercussioni gravi, soprattutto quando coinvolgono strumenti con accesso a dati sensibili.