Złośliwe oprogramowanie open source ukradło dane milionów użytkowników

Atak na popularny pakiet open source

Popularny pakiet open source element-data, który jest pobierany ponad milion razy miesięcznie, padł ofiarą cyberataku. Atakujący wykorzystali lukę w procesie pracy deweloperów, uzyskując dostęp do kluczy podpisujących oraz innych wrażliwych danych.

Jak przebiegał atak?

W piątek nieznani sprawcy wykorzystali znaną lukę, aby wypuścić nową, złośliwą wersję pakietu element-data. Był to interfejs wiersza poleceń (CLI) służący do monitorowania wydajności i anomalii w systemach uczenia maszynowego.

Po uruchomieniu złośliwa wersja 0.23.3 przeszukiwała systemy użytkowników w poszukiwaniu poufnych danych, takich jak:

• profile użytkowników,
• dane uwierzytelniające hurtowni danych,
• klucze dostawców chmury,
• tokeny API,
• klucze SSH.

Złośliwa wersja została opublikowana w repozytorium Python Package Index oraz na koncie Docker Hub deweloperów. Pakiet został usunięty po około 12 godzinach, w sobotę.

Kto został dotknięty atakiem?

Według deweloperów, zagrożeni są wyłącznie użytkownicy, którzy zainstalowali wersję 0.23.3 lub pobrali i uruchomili złośliwy obraz Docker. Pozostałe pakiety, takie jak Elementary Cloud, Elementary dbt oraz inne wersje CLI, nie zostały dotknięte atakiem.

Zalecenia dla użytkowników

„Użytkownicy, którzy zainstalowali wersję 0.23.3 lub uruchomili złośliwy obraz Docker, powinni założyć, że wszystkie dane uwierzytelniające dostępne w środowisku, w którym uruchomiono pakiet, mogły zostać naruszone” – ostrzegają deweloperzy.

Jak zabezpieczyć się przed podobnymi atakami?

Eksperci zalecają regularne aktualizowanie oprogramowania oraz stosowanie wielopoziomowych zabezpieczeń. Ważne jest również monitorowanie aktywności w systemie oraz natychmiastowe reagowanie na podejrzane działania.