- 広く使用されているPyPIパッケージが悪意のあるアップデートを通じて最近危険にさらされました
- 攻撃は、GitHub Actionsワークフローを利用して、リリースに情報盗取コードをプッシュしました
- メンテナーはすぐにクリーンバージョンをリリースし、認証情報をローテーションし、外部調査を開始しました
人気のあるPythonパッケージインデックス(PyPI)パッケージが危険にさらされ、ユーザーにマルウェアを配信するために使用されたと、専門家が警告しています。
ユーザーは最近、Elementaryパッケージのメンテナーに対して、最新バージョン0.23.3が「悪意のあるbase64エンコードされたコード」を含んでいることを警告しました。メンテナーはすぐに応答し、ニュースを確認し、クリーンアップデート(0.23.4)をリリースし、他のユーザーに通知しました。
elementary-dataパッケージは、Data Build Tool(dbt)向けのオープンソースのデータ観測性ツールです。主にデータパイプラインで作業するデータエンジニアと分析エンジニアによって使用されており、dbtエコシステムではかなり人気があり、PyPI上で月間100万回以上のダウンロード数があります。
記事は下に続きます
情報盗取ツールの配備
「攻撃者は悪意のあるコードを含むプルリクエストを開き、GitHub Actionsワークフローのスクリプトインジェクション脆弱性を悪用してそれをリリース0.23.3として公開しました」とメンテナーは説明しました。「0.23.3を実行したユーザー、または影響を受けたDockerイメージをプルして実行したユーザーは、実行された環境でアクセス可能なすべての認証情報が露出した可能性があると考える必要があります。」
Elementary CloudおよびElementary dbtパッケージは影響を受けなかったこと、またCLIの他のバージョンも影響を受けなかったことも確認されました。
悪意のあるコードは情報盗取ツールとして機能し、SSHキー、Git認証情報、クラウド認証情報、様々なシークレット(Kubernetes、Docker、CI)、暗号通貨ウォレットファイル、システムデータ、および.envファイルと開発者トークンを取得しました。
メンテナーは、PyPiにアップロードするリリースパッケージワークフローもDockerにプッシュするため、ペイロードはプロジェクトのDockerイメージにも到達したと付け加えました。
クリーンバージョンをリリースすることに加えて、Elementaryチームはまた、PyPI公開トークン、GitHubトークン、Dockerレジストリ認証情報、およびその他のシークレットをローテーションしました。脆弱なGitHub Actionワークフローも削除され、他のワークフローは徹底的に監査されました。
Wizも調査を行い、Elementaryの防御を強化するために呼ばれました。現在のところ、攻撃の責任を主張する者はいません。
