Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

PyPI пакет со 1,1 милион месечни преземања хакиран-компромитиран за крадење чувствителни податоци

Објавено: 28.04.2026

Напаѓач внел злонамерна верзија на популарниот пакет elementary-data од Python Package Index (PyPI), со цел да краде чувствителни податоци од развивачи и криптовалутни паричници.

Опасната верзија е 0.23.3, и таа се проширила и во Docker image поради тоа што workflow-от на проектот автоматски гради image од кодот и го објавува во container registry за деплојмент.

Член на заедницата crisperik ја забележал злонамерната објава и отворил issue на GitHub во саботата, со што бил намален периодот на изложеност. Потоа била објавена чиста верзија 0.23.4, но корисниците кои веќе ја презеле злонамерната верзија останале компромитирани.

Пакетот elementary-data е open-source алатка за data observability за dbt (Data Build Tool), главно користена од инженери за податоци и аналитика за работа со data pipelines. Тој е широко користен во dbt екосистемот со над 1.1 милион месечни преземања на PyPI.

Според анализа на инцидентот од StepSecurity истражувачи, напаѓачот не ги компромитирал сметките на одржувачите, што е почесто сценарио, туку искористил пропуст во workflow-от на проектот.

Напаѓачот објавил злонамерен коментар во pull request кој злоупотребил GitHub Actions script injection ранливост, со што бил принуден workflow-от да изврши shell код под контрола на напаѓачот.

Ова довело до откривање на GITHUB_TOKEN, кој потоа бил искористен за фалсификување на потпишан commit и tag (v0.23.3) и за активирање на официјалниот release pipeline.

Како резултат, pipeline-от го изградил и објавил backdoored пакетот на PyPI, како и злонамерен image во GitHub Container Registry, правејќи го да изгледа како официјално издание.

Злонамерното издание на PyPI

Злонамереното издание содржело датотека elementary.pth, која автоматски се извршувала при стартување и активирала крадец на тајни (secrets stealer) насочен кон следниве типови податоци:

  • SSH клучеви, Git креденцијали, cloud пристапни податоци (AWS/GCP/Azure)
  • Kubernetes, Docker и CI тајни
  • .env фајлови и developer токени
  • крипто-паричници (Bitcoin, Litecoin, Dogecoin, Zcash, Dash, Monero, Ripple)
  • системски податоци (/etc/passwd, логови, shell history)

Истражувачите наведуваат дека истиот payload бил пренесен и во Docker image, бидејќи workflow-от за објавување („Release package workflow“) кој го испраќа пакетот на PyPI исто така има и задача за градење и објавување Docker image.

Според StepSecurity, системите кои не користеле фиксирани (pinned) верзии автоматски ја повлекувале компромитираната верзија.

Сите што ја презеле злонамерната верзија elementary-data==0.23.3, како и image-ите со тагови ghcr.io/elementary-data/elementary:0.23.3 и :latest, треба да ги ротираат сите тајни (secrets) и да ги обноват своите средини од сигурна, позната состојба.

Извори:

  • Bleeping Computer – PyPI package with 1.1M monthly downloads hacked to push infostealer Bleeping Computer