Bir saldırgan, Python veri izleme aracı öğe verilerini, güvenliği ihlal edilmiş 0.23.3 sürümünde PyPI'ye yükledi. Sahte sürüm, SSH anahtarları, AWS kimlik bilgileri, API belirteçleri ve çeşitli kripto para birimlerinin cüzdan dosyaları gibi kimlik bilgilerini çalıyor. Tedarikçi Elementary artık güvenliği ihlal edilmiş paketi kaldırdı ancak neredeyse yarım gün boyunca hasara neden olabildi.
Duyurudan sonra devamını okuyun
Eski GitHub hesabı realtungtungtungahur'un arkasındaki saldırgan, element-data'nın kötü amaçlı 0.23.3 sürümüne sahipti gizlendi, 25 Nisan 00:20 CEST'te PyPI'ye yüklendi ve ardından 00:24'te GitHub Container Registry'ye ulaşan güvenliği ihlal edilmiş bir Docker görüntüsü geldi.
11 saatten biraz daha uzun bir süre sonra, 25 Nisan sabah 11:45'te, Elementary ekibi kötü amaçlı dosyaları kaldırdı ve bunları temiz sürüm 0.23.4 ile değiştirdi. Ekibe göre Elementary Cloud, Elementary dbt paketi ve CLI aracının diğer sürümleri bu olaydan etkilenmedi. Satıcı artık zaman çizelgesini, temel neden analizini ve tüm karşı önlemleri içeren kapsamlı bir güvenlik raporu da yayınladı.
Pypistats.org'a göre yalnızca geçen ay temel veriler bir milyondan fazla indirildi ve bu da açık kaynak CLI'yi dbt tabanlı veri platformları için en yaygın kullanılan izleme ve teşhis araçlarından biri haline getirdi. Başarılı bir saldırı durumunda ilgili sırlara erişim şansı yüksektir.
GitHub eylemleri aracılığıyla saldırı
Saldırgan, kodunu ardışık düzen içinde yürütmek için temel verilerin GitHub Eylemleri iş akışlarından birinde bir komut dosyası yerleştirme güvenlik açığından yararlanır. Daha sonra otomatik olarak sağlanan GITHUB_TOKEN'i kullanarak sürüm iş akışını çözdü. release.yml İle ilgili workflow_dispatch dışarı. Kötü amaçlı kod içeren bir çekme isteği gönderdi, ancak onu birleştirmesi veya ana dalı doğrudan değiştirmesi gerekmedi.
Kötü amaçlı kod, paketin site-packages dizininde bulunan elements.pth dosyasında bulunur ve çok çeşitli hassas verileri hedefler: SSH anahtarları, AWS bulut kimlik bilgileri ve Docker ile Kubernetes sırları. Bitcoin, Litecoin, Dogecoin ve Ethereum gibi kripto para birimlerine yönelik dosya cüzdanları da hedefleniyor. Çalınan veriler trin.tar.gz dosyasında özetlenerek adrese gönderildi igotnofriendsonlineorirl-imgonnakmslmao.skyhanni.cloud dışarı sızdı. Olay aynı zamanda OSV açık kaynak güvenlik açığı kayıt defterinde MAL-2026-3083 altında da listeleniyor.
Karşı önlemler
Duyurudan sonra devamını okuyun
Etkilenen 0.23.3 sürümünü yükleyen kullanıcıların derhal harekete geçmesi gerekir. Temel ekip her zaman sürüm kontrolü yapılmasını önerir
pip show elementary-data | grep Version
gerçekleştirmek. Daha sonra 0.23.3 sürümü geçerli olur
pip uninstall elementary-data
Güvenli sürümü kaldırmak ve değiştirmek için:
pip install elementary-data==0.23.4
Kullanıcılar ayrıca gereksinim dosyalarındaki ve kilitleme dosyalarındaki sürümü de kontrol etmelidir. elementary-data==0.23.4 ve son adımda element-data ile kullanılan tüm oturum açma verilerini yenileyin.
Ayrıca ekip, potansiyel olarak etkilenen tüm sistemlerde önbellek dosyalarının silinmesini ve kötü amaçlı kod işaretleyici dosyasının aranmasını önermektedir: macOS ve Linux'ta /tmp/.trinny-security-update konumunda bulunur, Windows'ta ise %TEMP%.trinny-security-update konumunda bulunur. Dosya mevcutsa, kötü amaçlı kod ilgili sistemde etkindi.
Buna paralel olarak Elementary ekibi, PyPI Yayınlama jetonunu, GitHub jetonunu ve Docker kayıt defteri kimlik bilgilerini döndürdü, güvenlik açığı bulunan GitHub Eylemleri iş akışını kaldırdı ve diğer tüm iş akışlarını denetledi.
Açık kaynak ekosistemi ve tedarik zincirindeki güvenlik sorunları hâlâ yaygın. Yapay zeka ajanları bu sorunun kontrol altında tutulmasına yardımcı olabilir.
(mro)
Bir yanıt yazın