Paket PyPI "Elementary" Diretas: Malware Infostealer Incar Kredensial Pengembang Melalui Update Malisius
Baca dalam 60 detik
- Paket PyPI "elementary-data" dengan 1 juta+ unduhan bulanan diretas melalui injeksi skrip di GitHub Actions.
- Pembaruan versi 0.23.3 menyebarkan malware infostealer yang mencuri kunci SSH, kredensial cloud, dan token pengembang.
- Pengelola telah merilis versi aman (0.23.4) dan menyarankan pengguna terdampak untuk segera mengganti semua kredensial mereka.
Paket Python Package Index (PyPI) populer, elementary-data, baru-baru ini disusupi oleh kode berbahaya yang menargetkan kredensial sensitif pengguna. Peretas memanfaatkan kerentanan dalam alur kerja GitHub Actions untuk menyebarkan malware melalui pembaruan resmi versi 0.23.3.
Detail Insiden Keamanan:
- Paket yang Terdampak: elementary-data (alat observabilitas data sumber terbuka untuk dbt).
- Versi Berbahaya: Versi 0.23.3 yang mengandung kode pengodean base64 malisius.
- Metode Serangan: Eksploitasi kerentanan script-injection pada alur kerja GitHub Actions melalui Pull Request (PR).
- Dampak Populer: Paket ini memiliki lebih dari satu juta unduhan setiap bulannya di PyPI.
Cara Kerja Malware Infostealer
Kode berbahaya yang disisipkan berfungsi sebagai infostealer. Setelah terinstal, malware ini akan mencoba mencuri berbagai data sensitif dari lingkungan pengembangan pengguna, termasuk:
| Kategori Data | Kredensial yang Dicuri |
|---|---|
| Akses & Cloud | Kunci SSH, kredensial Git, kredensial Cloud, rahasia Kubernetes, dan Docker. |
| Pengembangan | File .env, token pengembang, dan rahasia CI. |
| Aset Digital & Sistem | File dompet mata uang kripto dan data sistem. |
"Pengguna yang menjalankan versi 0.23.3, atau yang menggunakan gambar Docker yang terdampak, harus berasumsi bahwa kredensial apa pun yang dapat diakses di lingkungan tempat ia dijalankan mungkin telah terekspos," peringatan dari tim pengelola Elementary.
Langkah Mitigasi dan Pemulihan
Setelah mendapatkan laporan dari pengguna, pengelola paket segera mengambil langkah cepat untuk mengamankan ekosistem mereka. Versi bersih, yaitu 0.23.4, telah dirilis untuk menggantikan versi yang terinfeksi. Tim pengelola juga telah merotasi berbagai token penting, termasuk token publikasi PyPI, token GitHub, dan kredensial registri Docker. Alur kerja GitHub Actions yang rentan telah dihapus, dan firma keamanan Wiz telah dilibatkan untuk melakukan investigasi eksternal serta memperkuat pertahanan proyek tersebut.
