Pacote de código aberto com 1 milhão de downloads mensais teve credenciais roubadas por invasores

Pacote open source com 1 milhão de downloads mensais teve credenciais roubadas

Um pacote de código aberto com mais de 1 milhão de downloads mensais foi comprometido após invasores explorarem uma vulnerabilidade no fluxo de trabalho dos desenvolvedores. A falha permitiu acesso a chaves de assinatura e outras informações sensíveis, segundo relatório publicado na sexta-feira (12).

Os atacantes desconhecidos exploraram a vulnerabilidade para lançar uma nova versão do element-data, uma ferramenta de linha de comando que auxilia usuários a monitorar desempenho e anomalias em sistemas de machine learning. Ao ser executada, a versão maliciosa (identificada como 0.23.3) vasculhava os sistemas em busca de dados confidenciais, incluindo:

• Perfis de usuários;
• Credenciais de data warehouses;
• Chaves de provedores de nuvem;
• Tokens de API;
• Chaves SSH.

A versão infectada foi publicada nos repositórios Python Package Index e Docker Image, mas foi removida cerca de 12 horas depois, no sábado (13). Segundo os desenvolvedores, os pacotes Elementary Cloud, Elementary dbt e outras versões do CLI não foram afetados.

Risco de exposição de credenciais

Os desenvolvedores alertam que usuários que instalaram a versão 0.23.3 ou executaram a imagem Docker afetada devem assumir que quaisquer credenciais acessíveis no ambiente onde o pacote foi executado podem ter sido expostas.

«Usuários que instalaram a versão 0.23.3 ou puxaram e executaram a imagem Docker afetada devem assumir que quaisquer credenciais acessíveis no ambiente onde foi executado podem ter sido expostas.»

O incidente destaca os riscos associados à cadeia de suprimentos de software open source, onde vulnerabilidades em pacotes amplamente utilizados podem ter impactos significativos.