- Un paquete PyPI ampliamente utilizado se vio comprometido recientemente a través de una actualización maliciosa
- El ataque utilizó un flujo de trabajo de GitHub Actions para impulsar el código de Infostellar en una versión.
- Los encargados de mantenimiento emitieron rápidamente una versión limpia, rotaron las credenciales e iniciaron una investigación externa.
Un popular paquete Python Package Index (PyPI) ha sido comprometido y utilizado para entregar malware a los usuarios, advirtieron los expertos.
Un usuario advirtió recientemente a los encargados del mantenimiento del paquete inicial que la nueva versión, 0.23.3, contiene “código codificado en base64 malicioso”. Los mantenedores respondieron pronto, confirmaron la noticia, lanzaron una actualización limpia (0.23.4) y notificaron a otros usuarios.
El paquete de datos primarios es una herramienta de observabilidad de datos de código abierto para Data Build Tool (dbt). Lo utilizan principalmente ingenieros de datos e ingenieros de análisis que trabajan con canalizaciones de datos y, aparentemente, es bastante popular en el ecosistema dbt, con más de un millón de descargas mensuales en PyPI.
El artículo continúa a continuación.
Desplegando una infoestelar
“Un atacante abrió un PR con código malicioso y aprovechó una vulnerabilidad de inyección de script en nuestros flujos de trabajo de acción de GitHub para publicarlo como versión 0.23.3”, explicaron los mantenedores. “Los usuarios que ejecutan 0.23.3, o que extrajeron la imagen de Docker afectada, deben asumir que todas las credenciales accesibles al entorno han quedado expuestas”.
También confirmó que los paquetes primarios de nube y dbt primarios no se vieron afectados y tampoco otras versiones de la CLI.
El código malicioso actúa como un ladrón de información, capturando claves SSH, credenciales de Git, credenciales de la nube, varios secretos (Kubernetes, Docker, CI), archivos de billeteras de criptomonedas, datos del sistema y archivos .env, y tokens de desarrollador.
Los mantenedores agregaron que la carga útil también llega a la imagen de Docker del proyecto porque el flujo de trabajo del paquete de lanzamiento que se carga en PyPi también se envía a Docker.
Además de lanzar una versión limpia, el equipo inicial también rota tokens de lanzamiento de PyPI, tokens de GitHub, credenciales de registro de Docker y otros secretos. También se eliminó el flujo de trabajo vulnerable de GitHub Actions, mientras que otros flujos de trabajo se auditaron minuciosamente.
Wiz también fue contratado para investigar y fortalecer las defensas de Elementary. Hasta el momento nadie se ha atribuido la autoría del ataque.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
