Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Инструмент анализа данных на Python на полдня стал вредоносным — он крал ключи и токены

Неизвестный киберпреступник загрузил на платформу PyPI модифицированную версию 0.23.3 утилиты elementary-data, предназначенной для мониторинга информации. Вредоносный вариант приложения производит кражу учётных данных: ключей SSH, данных доступа к ресурсам AWS, токенов API и криптовалютных кошельков. Легитимный разработчик удалил скомпрометированный пакет, но тот оставался доступным для широкой аудитории в течение половины дня и, вероятно, успел нанести ущерб.

 Источник изображения: Towfiqu barbhuiya / unsplash.com

Источник изображения: Towfiqu barbhuiya / unsplash.com

Злоумышленник воспользовался уязвимостью в одном из рабочих процессов GitHub Actions проекта разработки elementary-data. Используя автоматически предоставленный ему GITHUB_TOKEN, он создал запрос на слияние (pull request) легитимного пакета с вредоносным кодом и сумел добиться автоматического выпуска заражённой новой версии пакета. Этот пакет предназначался для сбора широкого спектра конфиденциальных данных: ключей SSH, учётных данных облачных ресурсов Amazon Web Services (AWS), контейнеров Docker и Kubernetes, а также файлов криптовалютных кошельков, в том числе Bitcoin, Litecoin, Dogecoin и Ethereum. Украденные данные компилировались в файл trin.tar.gz и отправлялись на подконтрольный злоумышленнику сервер.

Киберпреступник воспользовался свежезарегистрированной учётной записью GitHub, 25 апреля в 2:20 мск загрузил в проект вредоносную версию elementary-data на PyPI, а в 2:24 загрузил в GitHub Container Registry заражённый образ Docker с этим пакетом, расширив тем самым вектор вредоносной кампании. Администраторы проекта Elementary удалили вредоносные файлы только в 13:45 того же дня, то есть более чем через 11 часов, и заменили пакет очищенной версией elementary-data 0.23.4. Связанные с ним пакет Elementary dbt, ресурсы Elementary Cloud и другие версии самого проекта в ходе инцидента не пострадали, сообщили разработчики.

Пользователям, установившим заражённую версию elementary-data 0.23.3, настоятельно рекомендуется удалить её и заменить безопасным вариантом 0.23.4. Необходимо также удалить файлы кеша и файл-маркер «.trinny-security-update» вредоносного пакета — если этот файл присутствует в системе, значит, вредонос в ней запускался. Разработчики Elementary обновили токен публикации PyPI, токен GitHub, учётные данные GitHub Container Registry, удалили уязвимый рабочий процесс GitHub Actions и проверили все остальные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
ФБР и Google обезвредили ботнет, в котором работали 2 миллиона смарт-телевизоров 24 мин.
Долой пересветы и тусклые цвета: Google сделает HDR-видео одинаково красивым на разных Android-смартфонах 26 мин.
Apple проиграла суд и не смогла отделаться от статуса «привратника» в Европе 27 мин.
У ИИ-агента GitHub нашлась способность передавать данные из закрытых репозиториев 29 мин.
Китайские специалисты заявили, что нашли в Claude Code скрытую передачу данных пользователей 30 мин.
Meta показала детектор её собственного ИИ-контента 37 мин.
Мониторы LG и Alienware уличили в установке ПО с назойливой рекламой для Windows 3 ч.
Завтра мощнейшие ИИ-модели GPT-5.6 станут доступны для всех — власти США сняли запрет 3 ч.
Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 4 ч.
За два с половиной года раннего доступа в симулятор «покемонов с пушками» Palworld сыграло 40 миллионов человек 5 ч.
Тысяча долларов за литр: Asus выпустила игровой мини-ПК ROG GR70 с Ryzen 9 9955HX3D и RTX 5070 33 мин.
Tesla пустит стартапы на свой завод в Берлине, чтобы они улучшили её аккумуляторы 39 мин.
Patriot выпустила двухканальные комплекты памяти Viper Steel 5 Infinite DDR5-8000 ёмкостью до 96 Гбайт 42 мин.
NASA успешно разбудило зонд New Horizons после самой долгой спячки в истории 44 мин.
Слишком далеко, дорого и долго: эксперты раскритиковали мегапроект SK hynix и Samsung по строительству заводов памяти 49 мин.
Созданный для питания ИИ малый атомный реактор впервые вышел на самоподдерживающуюся реакцию 50 мин.
Скрытая съёмка запрещена: очки Meta перестанут записывать видео, если повреждён индикатор съёмки 54 мин.
ИИ-модели Perplexity заработают на центральных процессорах Nvidia Vera 57 мин.
Meta тестирует «сверхчувствительные» умные очки — они будут постоянно записывать видео и аудио 59 мин.
Amazon выпустила облигации на $25 млрд, чтобы покрыть затраты на ИИ-инфраструктуру 3 ч.