月間のダウンロード数が100万件を超えるオープンソースソフトウェアが、攻撃者が開発者のアカウントのワークフローに存在する脆弱性を悪用し、それにより署名キーやその他の機密情報へのアクセスを得たことで侵害された。
金曜日、正体不明の攻撃者がこの脆弱性を悪用して、新しいバージョンのelement-data(機械学習システムにおけるパフォーマンスや異常をユーザーが監視するのに役立つコマンドラインインターフェース)をプッシュした。実行されると、悪意のあるパッケージはユーザープロファイル、ウォーレンハウスの資格情報、クラウドプロバイダーのキー、APIトークン、SSHキーなどの機密データをシステム上で探索したと、開発者らは述べた。悪意のあるバージョンは0.23.3としてタグ付けされ、開発者のPython Package IndexおよびDockerイメージのアカウントに公開された。土曜日に約12時間後、削除された。Elementary Cloud、Elementary dbtパッケージ、そして他のすべてのCLIバージョンには影響がなかった。
侵害を前提にする
「0.23.3をインストールしたユーザー、または影響を受けたDockerイメージを取得して実行したユーザーは、それが実行された環境でアクセス可能だったすべての資格情報が漏えいした可能性があるとして、対応すべきです」と開発者らは記した。
脅威アクターは、開発者が作成したGitHubアクションに存在する脆弱性を悪用することで、開発者のアカウントへのアクセスを獲得した。攻撃者は、プルリクエストに悪意のあるコードを投稿することで、開発者のアカウント内で実行されるbashスクリプトを動かすことができた。このbashスクリプトは、機密データを取得した。アカウントトークンと署名キーを使って、攻撃者は正当なものとほぼ見分けがつかない悪意のあるelement-dataパッケージを公開するに至った。
開発者らは、第三者のissueレポートから侵害を知った。3時間以内に、パッケージは削除された。Elementの開発者らは、悪意のあるコードがアクセスしていたすべての資格情報もローテーションしたと述べている。さらに、開発者らは脆弱性を修正し、同様の欠陥を含まないことを確認するために他のすべてのGitHubアクションを監査した。
