📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um invasor lançou uma versão maliciosa do popular pacote de dados elementares Python Package Index (PyPI) para roubar dados confidenciais de desenvolvedores e carteiras de criptomoedas.
A versão perigosa é 0.23.3 e se estende à imagem do Docker devido ao fluxo de trabalho do pacote que cria a imagem a partir do código e a carrega em um registro de contêiner para implantação.
O membro da comunidade crisperik detectou o upload malicioso e abriu um problema no GitHub do projeto no sábado, alertando o mantenedor e diminuindo a janela de exposição.
Um substituto limpo, dados elementares 0.23.4, foi enviado aos usuários. No entanto, os usuários que baixaram a variante maliciosa permaneceram comprometidos.
O pacote elementary-data é uma ferramenta de observabilidade de dados de código aberto para dbt, usada principalmente por engenheiros de dados/análise que trabalham com pipelines de dados. É uma ferramenta popular no ecossistema dbt (Data Build Tool), com mais de 1,1 milhão de downloads mensais no PyPI.
De acordo com uma análise do incidente publicada pelos pesquisadores da StepSecurity, o invasor explorou uma falha no fluxo de trabalho do projeto, em vez de comprometer as contas dos mantenedores, como é mais comum com atualizações não autorizadas.
O invasor postou um comentário malicioso em uma solicitação pull que explorava uma falha de injeção de script do GitHub Actions, fazendo com que o fluxo de trabalho executasse código shell controlado pelo invasor.
Isso expôs o GITHUB_TOKEN do fluxo de trabalho, que foi então usado para forjar um commit e uma tag assinados (v0.23.3) e acionar o pipeline de lançamento legítimo do projeto.
O pipeline construiu e publicou o pacote backdoor no PyPI, bem como uma imagem maliciosa no GitHub Container Registry, fazendo com que parecesse um lançamento oficial.
A versão maliciosa no PyPISource: StepSecurity
A versão maliciosa continha o arquivo elementar.pth, que foi executado automaticamente na inicialização para carregar um ladrão de segredos direcionado ao seguinte tipo de dados:
Chaves SSH, credenciais Git, credenciais de nuvem (AWS/GCP/Azure)
Segredos de Kubernetes, Docker e CI
Arquivos .env e tokens de desenvolvedor
Arquivos de carteira criptografada (Bitcoin, Litecoin, Dogecoin, Zcash, Dash, Monero, Ripple)
Dados do sistema (/etc/passwd, logs, histórico do shell)
Os pesquisadores dizem que a mesma carga atingiu a imagem Docker do projeto, porque o “fluxo de trabalho do pacote de lançamento que carrega para o PyPI também tem um trabalho build-and-push-docker-image”.
De acordo com StepSecurity, os sistemas que não usavam versões fixadas extraíam a compilação backdoor automaticamente.
Aqueles que baixaram a versão maliciosa, elementary-data==0.23.3, e as imagens com as tags ghcr.io/elementary-data/elementary:0.23.3 e :latest, devem alternar todos os segredos e restaurar seus ambientes a partir de um ponto seguro conhecido.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A versão perigosa é 0.23.3 e se estende à imagem do Docker devido ao fluxo de trabalho do pacote que cria a imagem a partir do código e a carrega em um registro de contêiner para implantação.
O membro da comunidade crisperik detectou o upload malicioso e abriu um problema no GitHub do projeto no sábado, alertando o mantenedor e diminuindo a janela de exposição.
Um substituto limpo, dados elementares 0.23.4, foi enviado aos usuários. No entanto, os usuários que baixaram a variante maliciosa permaneceram comprometidos.
O pacote elementary-data é uma ferramenta de observabilidade de dados de código aberto para dbt, usada principalmente por engenheiros de dados/análise que trabalham com pipelines de dados. É uma ferramenta popular no ecossistema dbt (Data Build Tool), com mais de 1,1 milhão de downloads mensais no PyPI.
De acordo com uma análise do incidente publicada pelos pesquisadores da StepSecurity, o invasor explorou uma falha no fluxo de trabalho do projeto, em vez de comprometer as contas dos mantenedores, como é mais comum com atualizações não autorizadas.
O invasor postou um comentário malicioso em uma solicitação pull que explorava uma falha de injeção de script do GitHub Actions, fazendo com que o fluxo de trabalho executasse código shell controlado pelo invasor.
Isso expôs o GITHUB_TOKEN do fluxo de trabalho, que foi então usado para forjar um commit e uma tag assinados (v0.23.3) e acionar o pipeline de lançamento legítimo do projeto.
O pipeline construiu e publicou o pacote backdoor no PyPI, bem como uma imagem maliciosa no GitHub Container Registry, fazendo com que parecesse um lançamento oficial.
A versão maliciosa no PyPISource: StepSecurity
A versão maliciosa continha o arquivo elementar.pth, que foi executado automaticamente na inicialização para carregar um ladrão de segredos direcionado ao seguinte tipo de dados:
Chaves SSH, credenciais Git, credenciais de nuvem (AWS/GCP/Azure)
Segredos de Kubernetes, Docker e CI
Arquivos .env e tokens de desenvolvedor
Arquivos de carteira criptografada (Bitcoin, Litecoin, Dogecoin, Zcash, Dash, Monero, Ripple)
Dados do sistema (/etc/passwd, logs, histórico do shell)
Os pesquisadores dizem que a mesma carga atingiu a imagem Docker do projeto, porque o “fluxo de trabalho do pacote de lançamento que carrega para o PyPI também tem um trabalho build-and-push-docker-image”.
De acordo com StepSecurity, os sistemas que não usavam versões fixadas extraíam a compilação backdoor automaticamente.
Aqueles que baixaram a versão maliciosa, elementary-data==0.23.3, e as imagens com as tags ghcr.io/elementary-data/elementary:0.23.3 e :latest, devem alternar todos os segredos e restaurar seus ambientes a partir de um ponto seguro conhecido.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #pacote #pypi #com #1,1 #milhão #de #downloads #mensais #hackeado #para #enviar #infostealer
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário