月間 100 万ダウンロードのオープンソース パッケージがユーザーの認証情報を盗んだ

開発者は、バージョン 0.23.3 をインストールしているすべての開発者に、直ちに次の手順を実行するよう呼びかけています。

1. インストールされているバージョンを確認します。

pip show elementary-data | grep Version

2. バージョンが 0.23.3 の場合は、それをアンインストールし、安全なバージョンに置き換えます。

pip uninstall elementary-data

pip install elementary-data==0.23.4

要件ファイルとロック ファイルで、elementary-data==0.23.4 を明示的に設定します。

3. アーチファクトを避けるためにキャッシュ ファイルを削除します。

4. CLI を実行しているマシン上のマルウェア マーカー ファイルを確認します。このファイルが存在する場合、ペイロードはそのマシン上で実行されます。

macOS / Linux: /tmp/.trinny-security-update

Windows: %TEMP%\\.trinny-security-update

5. 0.23.3 が実行されていた環境からアクセスできたすべての認証情報 (dbt プロファイル、ストア認証情報、クラウド プロバイダー キー、API トークン、SSH キー、および .env ファイルの内容) を引き渡します。 CI/CD ブローカーは、通常、実行時に大量のシークレット セットをマウントするため、特に危険にさらされます。

6. セキュリティ チームに連絡して、公開された資格情報の不正使用を調べてください。関連する IOC はこの投稿の最後に記載されています。

過去 10 年間で、オープンソース リポジトリに対するサプライ チェーン攻撃がますます一般的になりました。場合によっては、悪意のあるパッケージがユーザーの侵害につながり、そこからユーザー環境の侵害につながるため、一連の侵害が発生します。

40年以上の経験を持つハッカーであり、runZeroの創設者兼CEOであるHDムーア氏は、GitHub共有などのユーザーが開発したリポジトリワークフローは脆弱性をホスティングしていることで悪名高いと述べた。

これは「オープンリポジトリを備えたオープンソースプロジェクトにとって大きな問題だ」と同氏は述べた。 「攻撃者のプルリクエストによって悪用される危険なワークフローを誤って作成しないようにすることは非常に困難です。」

同氏は、このパッケージはそのような脆弱性をチェックするために使用できると述べた。