Das beliebte Python-Paket zur Überwachung der Datenqualität war kurzzeitig als bösartige Version verfügbar. Anbieter Elementary rät umgehend zum Update.
Ein Angreifer hat das Python -Tool zur Datenüberwachung, elementary-data, in einer manipulierten Version 0.23.3 auf PyPI hochgeladen. Das gefälschte Release stiehlt Credentials wie SSH-Schlüssel, AWS-Zugangsdaten, API-Tokens und Wallet-Dateien verschiedener Kryptowährungen.
Mittlerweile hat der Anbieter Elementary das kompromittierte Paket entfernt, es konnte aber knapp einen halben Tag lang Schaden anrichten.versteckte, am 25. April um 0:20 MESZ auf PyPI hochgeladen, gefolgt von einem kompromittierten Docker-Image, das um 0:24 Uhr seinen Weg in die GitHub Container Registry fand. Etwas mehr als 11 Stunden später, am 25.
April um 11:45 Uhr, entfernte das Elementary-Team die schädlichen Dateien und ersetzte sie durchlaut pypistats.org mehr als eine Million Downloads , was das Open-Source-CLI zu einem der am häufigsten genutzten Monitoring- und Diagnose-Tools für dbt-basierte Datenplattformen macht. Im Fall eines erfolgreich durchgeführten Angriffs stehen damit auch die Chancen gut, Zugriff auf entsprechende Secrets zu erhalten. Der Angreifer nutzt eine Script-Injection-Schwachstelle in einem der GitHub-Actions-Workflows von elementary-data aus, um eigenen Code innerhalb der Pipeline auszuführen.
Mit dem automatisch bereitgestellten GITHUB_TOKEN löste er anschließend den Release-Workflowaus. Er hatte dafür einen Pull Request mit Schadcode eingebracht, musste ihn aber weder mergen noch den Master-Branch direkt verändern. Der Schadcode steckt in der Datei elementary.pth, die sich im Verzeichnis site-packages des Pakets findet, und hat ein breites Spektrum sensibler Daten im Visier: SSH-Schlüssel, Zugangsdaten für die AWS-Cloud und Secrets für Docker und Kubernetes. Auch Wallet-Dateien von Kryptowährungen wie Bitcoin, Litecoin, Dogecoin und Ethereum gehören zu den Zielobjekten.
Die gestohlenen Daten wurden in der Datei trin.tar.gz zusammengefasst und an die Adresseelementary-data==0.23.4Darüber hinaus empfiehlt das Team, Cache-Dateien zu löschen und auf allen potenziell betroffenen Systemen nach der Marker-Datei des Schadcodes zu suchen: Unter macOS und Linux liegt sie unter /tmp/.trinny-security-update, unter Windows unter %TEMP%.trinny-security-update. Ist die Datei vorhanden, war der Schadcode auf dem jeweiligen System aktiv. Parallel dazu hat das Elementary-Team den PyPI-Publish-Token, den GitHub-Token und die Docker-Registry-Credentials rotiert sowie den anfälligen GitHub-Actions-Workflow entfernt und alle übrigen Workflows geprüft.
Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
IT Lieferketten-Angriff Python Security Sicherheitslücken
United States Latest News, United States Headlines
Similar News:You can also read news stories similar to this one that we have collected from other news sources.
Neues Tool zur Zertifikate-Suche: Präzise und personalisierte Suche nach Anlage- und HebelproduktenMit dem neuen Tool zur Zertifikate-Suche können Nutzer die umfangreiche Datenbank nach Anlage- und Hebelprodukten durchsuchen. Die Suche lässt sich durch Auswahl der Hauptart (z.B. Bonus-Zertifikate, Knock-Outs) und Unterart (z.B. Basiswert, Währungssicherheit) präzisieren. Zudem können Kennzahlen wie Strike, Cap oder Spread ausgewählt und in Prozentwerten angezeigt werden. Die Anzeige der Ergebnisse ist personalisierbar, und beliebte Suchanfragen werden als Voreinstellungen angeboten.
Read more »
Datenklau übers WLAN? So schützen Sie ihr Smartphone vor HackerangriffenDie WLAN-Funktion moderner Smartphones kann zur Sicherheitslücke werden. Welche Maßnahmen gegen Cyberkriminelle helfen, erklären wir hier.
Read more »
Neues Tool zur Zertifikate-Suche: Präzise und personalisierte Suche nach Anlage- und HebelproduktenMit dem neuen Zertifikate-Suche-Tool von finanzen.net können Nutzer eine umfangreiche Datenbank nach Anlage- und Hebelprodukten durchsuchen. Die Suche lässt sich durch Auswahl der Hauptart (z.B. Bonus-Zertifikate, Express-Zertifikate, Knock-Outs) und weiterer Filter wie Basiswert, Währungssicherheit, Strike, Cap oder Fälligkeit verfeinern. Zudem können Ergebnisse nach Kennzahlen wie Abstand zum Strike, Aufgeld oder Spread sortiert werden. Beliebte Suchanfragen werden als Voreinstellungen angeboten.
Read more »
„Copy Fail“: Linux-root in allen großen Distributionen mit 732 Byte PythonDie Entdecker haben die root-Lücke im Linux-Kernel „Copy Fail“ getauft. Alle größeren Distributionen seit 2017 sind betroffen.
Read more »
Cities: Skylines II: Spring-Cleaning-Patch mit Benchmark-Tool & OptimierungenDer „Spring Cleaning“-Patch für Cities: Skylines II kommt mit einem Benchmark-Tool daher, das Entwicklern und Spielern helfen soll.
Read more »
ProFTPD: Codeschmuggel durch mod_sql möglichDer FTP-Server ProFTPD bringt ein Modul mod_sql mit. Es enthält eine SQL-Injection-Schwachstelle, die am Ende zur Ausführung von untergejubeltem Code führt.
Read more »