Paquete de código abierto con 1 millón de descargas mensuales robó credenciales de usuarios

Un software de código abierto con más de un millón de descargas mensuales fue comprometido después de que un actor de amenazas explotara una vulnerabilidad en el flujo de trabajo de la cuenta de los desarrolladores, lo que dio acceso a sus claves de firma y otra información sensible.

El viernes, atacantes desconocidos explotaron la vulnerabilidad para publicar una nueva versión de element-data, una interfaz de línea de comandos que ayuda a los usuarios a monitorear el rendimiento y las anomalías en sistemas de aprendizaje automático. Los desarrolladores dijeron que, al ejecutarse, el paquete malicioso rastreó los sistemas en busca de datos sensibles, incluidos perfiles de usuario, credenciales de almacén, claves de proveedores de nube, tokens API y claves SSH.

La versión maliciosa fue etiquetada como 0.23.3 y publicada en el índice de paquetes Python y las cuentas de imágenes Docker de los desarrolladores. Fue retirada unas 12 horas después, el sábado. Element Cloud, el paquete Elementary dbt y todas las demás versiones CLI no se vieron afectadas.