Відкритий програмний продукт з більш ніж мільйоном щомісячних завантажень зазнав атаки після того, як зловмисники скористалися вразливістю в системі облікових записів розробників, що дало їм доступ до ключів підписання та іншої чутливої інформації.
У п'ятницю невідомі зловмисники використали цю вразливість, щоб опублікувати нову версію пакету element-data, який допомагає користувачам контролювати продуктивність та аномалії в системах машинного навчання. Після запуску шкідливий пакет сканував системи на наявність чутливих даних, включаючи профілі користувачів, дані сховищ, ключі постачальників хмарних послуг, токени API та SSH-ключі, повідомили розробники. Шкідлива версія, помічена як 0.23.3, була опублікована на серверах Python Package Index та Docker, але була видалена приблизно через 12 годин, у суботу. Додаток Elementary Cloud, пакет Elementary dbt та всі інші версії CLI не постраждали.
Припускайте компрометацію
Розробники зазначили: "Користувачі, які встановили версію 0.23.3 або завантажили та запустили задіяний Docker-образ, повинні вважати, що будь-які дані доступні в середовищі, де він запускався, могли бути скомпрометовані."