Útočník nahrál škodlivou verzi oblíbeného balíčku elementary-data do repozitáře Python Package Index (PyPI) s cílem odcizit citlivá data vývojářů a obsah kryptoměnových peněženek.
Nebezpečnou verzí je vydání 0.23.3, přičemž škodlivý kód se rozšířil i do Docker image – to zapříčinil pracovní postup balíčku, který automaticky vytváří image z kódu a nahrává ji do registru kontejnerů pro nasazení.
Člen komunity crisperik škodlivé nahrání odhalil a otevřel hlášení na GitHubu projektu, čímž upozornil správce a zkrátil dobu, po kterou byli uživatelé vystaveni riziku.
Jako náhrada byl uživatelům distribuován čistý balíček elementary-data 0.23.4. Uživatelé, kteří si stáhli škodlivou verzi, však zůstali kompromitováni.
Balíček elementary-data je open-source nástroj pro sledování datové kvality (data observability) určený pro dbt, používaný především datovými inženýry a analytiky pracujícími s datovými pipeline. Jde o velmi rozšířený nástroj v ekosystému dbt (Data Build Tool) s více než 1,1 milionem stažení měsíčně na PyPI.
Podle analýzy incidentu zveřejněné výzkumníky ze StepSecurity útočník nezískal přístup prostřednictvím kompromitace účtů správců, jak bývá u podvodných aktualizací obvyklé, ale využil zranitelnost v pracovním postupu projektu.
Útočník vložil škodlivý komentář do pull requestu, který zneužil chybu umožňující vložení škodlivého kódu do skriptů GitHub Actions (script injection). To způsobilo, že pracovní postup spustil útočníkem řízený shellový kód.
Tím byl odhalen token GITHUB_TOKEN daného workflow, který byl následně využit k vytvoření podepsaného commitu a tagu (v0.23.3) a spuštění legitimního release pipeline projektu.
Pipeline sestavila a publikovala backdoorovaný balíček na PyPI a zároveň škodlivou image do GitHub Container Registry, takže vše vypadalo jako oficiální vydání.
Škodlivé vydání obsahovalo soubor elementary.pth, který se při spuštění automaticky načetl a aktivoval stealer zaměřený na následující typy informací:
SSH klíče, Git přihlašovací údaje, přihlašovací údaje ke cloudovým službám (AWS/GCP/Azure)
- Tajné hodnoty Kubernetes, Docker a CI prostředí
- Soubory .env a vývojářské tokeny
- Soubory kryptoměnových peněženek (Bitcoin, Litecoin, Dogecoin, Zcash, Dash, Monero, Ripple)
- Systémová data (/etc/passwd, logy, historie příkazového řádku)
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
