Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Инструмент анализа данных на Python на полдня стал вредоносным — он крал ключи и токены

Неизвестный киберпреступник загрузил на платформу PyPI модифицированную версию 0.23.3 утилиты elementary-data, предназначенной для мониторинга информации. Вредоносный вариант приложения производит кражу учётных данных: ключей SSH, данных доступа к ресурсам AWS, токенов API и криптовалютных кошельков. Легитимный разработчик удалил скомпрометированный пакет, но тот оставался доступным для широкой аудитории в течение половины дня и, вероятно, успел нанести ущерб.

 Источник изображения: Towfiqu barbhuiya / unsplash.com

Источник изображения: Towfiqu barbhuiya / unsplash.com

Злоумышленник воспользовался уязвимостью в одном из рабочих процессов GitHub Actions проекта разработки elementary-data. Используя автоматически предоставленный ему GITHUB_TOKEN, он создал запрос на слияние (pull request) легитимного пакета с вредоносным кодом и сумел добиться автоматического выпуска заражённой новой версии пакета. Этот пакет предназначался для сбора широкого спектра конфиденциальных данных: ключей SSH, учётных данных облачных ресурсов Amazon Web Services (AWS), контейнеров Docker и Kubernetes, а также файлов криптовалютных кошельков, в том числе Bitcoin, Litecoin, Dogecoin и Ethereum. Украденные данные компилировались в файл trin.tar.gz и отправлялись на подконтрольный злоумышленнику сервер.

Киберпреступник воспользовался свежезарегистрированной учётной записью GitHub, 25 апреля в 2:20 мск загрузил в проект вредоносную версию elementary-data на PyPI, а в 2:24 загрузил в GitHub Container Registry заражённый образ Docker с этим пакетом, расширив тем самым вектор вредоносной кампании. Администраторы проекта Elementary удалили вредоносные файлы только в 13:45 того же дня, то есть более чем через 11 часов, и заменили пакет очищенной версией elementary-data 0.23.4. Связанные с ним пакет Elementary dbt, ресурсы Elementary Cloud и другие версии самого проекта в ходе инцидента не пострадали, сообщили разработчики.

Пользователям, установившим заражённую версию elementary-data 0.23.3, настоятельно рекомендуется удалить её и заменить безопасным вариантом 0.23.4. Необходимо также удалить файлы кеша и файл-маркер «.trinny-security-update» вредоносного пакета — если этот файл присутствует в системе, значит, вредонос в ней запускался. Разработчики Elementary обновили токен публикации PyPI, токен GitHub, учётные данные GitHub Container Registry, удалили уязвимый рабочий процесс GitHub Actions и проверили все остальные.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 8 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 10 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 10 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 12 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 12 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 13 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 13 ч.
Google подготовила радикальный дизайн «Переводчика» 13 ч.
Windows 11 начала «съедать» до 500 Гбайт на диске — Microsoft признала баг 13 ч.
«Спрашиваю для друга»: сооснователь Arkane поинтересовался у гендиректора Xbox, сколько стоит выкупить студию 15 ч.
Новая статья: Сравнительный тест камер флагманских смартфонов (2026) 5 ч.
Китайская DeepSeek скрытно занимается разработкой собственного ИИ-ускорителя для инференса 5 ч.
Анонсированы умные очки Solos AirGo A6 — без камеры, но с ИИ 8 ч.
Apple захватила 90 % рынка смарт-часов с ИИ, который за год вырос на 70 % 10 ч.
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А 10 ч.
Marshall представила беспроводные колонки Acton IV и Stanmore IV с улучшенными басами и повышенной ремонтопригодностью 10 ч.
Huawei впервые бросит вызов Nvidia за пределами Китая — ИИ-ускорители Ascend появятся в Южной Корее 10 ч.
Российские власти не будут вводить плату за иностранный трафик 11 ч.
«Совкомбанк»: в 2026 году капитальные затраты на новые ЦОД в России сократятся на треть 11 ч.
Anthropic готова потратить миллиарды долларов на ЦОД в Австралии, но взамен требует переписать законы об интеллектуальной собственности 13 ч.