Komprimiertes Open-Source-Paket mit einer Million Downloads monatlich erbeutete Nutzerdaten

KI-Zusammenfassung

Unbekannte Angreifer haben das Open-Source-Paket element-data kompromittiert, das über eine Million monatliche Downloads verzeichnet. Die Täter nutzten eine Schwachstelle im Entwickler-Account-Workflow aus, um Zugriff auf Signierschlüssel und andere sensible Informationen zu erlangen. Am Freitag veröffentlichten sie die manipulierte Version 0.23.3 über den Python Package Index und Docker-Image-Accounts; sie durchsuchte Systeme nach Nutzerprofilen, Warehouse-Zugangsdaten, Cloud-Provider-Schlüsseln, API-Tokens und SSH-Schlüsseln. Die Entwickler entfernten die schädliche Version nach etwa zwölf Stunden am Samstag und warnten Nutzer, die 0.23.3 installiert oder das betroffene Docker-Image ausgeführt haben, dass sämtliche für die jeweilige Umgebung zugänglichen Zugangsdaten als kompromittiert gelten müssen. Die Element-Cloud, das Elementary-dbt-Paket und alle anderen CLI-Versionen blieben von dem Angriff unberührt.