Popularni PyPI paket elementary-data kompromitovan za širenje infostealera
Napadač je objavio zlonamernu verziju 0.23.3 popularnog PyPI paketa elementary-data, koji ima više od 1,1 milion mesečnih preuzimanja. Prema analizi StepSecurity istraživača, nije kompromitovan nalog maintainer-a, već je iskorišćena script injection slabost u GitHub Actions workflow-u preko zlonamernog komentara na pull request-u. Napadač je došao do GITHUB_TOKEN-a, napravio potpisani commit i tag, a zatim pokrenuo legitimni release pipeline koji je objavio backdoored paket na PyPI i zlonamerni Docker image na GitHub Container Registry. Payload je krao SSH ključeve, Git kredencijale, cloud tajne, Kubernetes i Docker podatke, .env fajlove, developerse tokene, crypto wallet fajlove i sistemske podatke.
Supply-chain napadi sve češće ne ciljaju samo naloge developera, već i automatizaciju koja sama objavljuje pakete i kontejnere. Kada CI/CD pipeline dobije previše poverenja, jedan zlonamerni komentar može postati put do zvaničnog release-a koji izgleda legitimno i automatski ulazi u tuđa razvojna okruženja.
- Ako je korišćen elementary-data 0.23.3 ili Docker image sa tagom 0.23.3 ili latest, tretirati okruženje kao kompromitovano
- Rotirati SSH ključeve, Git tokene, cloud kredencijale, Kubernetes tajne, Docker tokene i sve .env vrednosti
- Preći na čistu verziju elementary-data 0.23.4 ili noviju
- Proveriti GitHub Actions workflow-e za script injection rizike i neizolovan unos iz komentara ili pull request-a
- Pinovati verzije paketa i kontejnerskih image-a umesto automatskog povlačenja latest build-ova