Nội dung bài viết
Nếu bạn là một trong hàng triệu người sử dụng dữ liệu phần tử thì đã đến lúc kiểm tra sự thỏa hiệp.
Phần mềm nguồn mở với hơn 1 triệu lượt tải xuống hàng tháng đã bị xâm phạm sau khi kẻ tấn công khai thác lỗ hổng trong quy trình làm việc tài khoản của nhà phát triển để cấp quyền truy cập vào khóa ký và thông tin nhạy cảm khác.
Vào thứ Sáu, những kẻ tấn công chưa xác định đã khai thác lỗ hổng này để tạo ra một phiên bản mới của dữ liệu phần tử, giao diện dòng lệnh giúp người dùng theo dõi hiệu suất và các điểm bất thường trong hệ thống máy học.
Các nhà phát triển cho biết, khi chạy, gói độc hại sẽ quét hệ thống để tìm dữ liệu nhạy cảm, bao gồm hồ sơ người dùng, thông tin xác thực kho, khóa nhà cung cấp đám mây, mã thông báo API và khóa SSH.
Phiên bản độc hại được gắn thẻ là 0.23.3 và đã được xuất bản lên tài khoản hình ảnh Docker và Index gói Python của nhà phát triển. Nó đã được gỡ bỏ khoảng 12 giờ sau, vào thứ bảy.
Đám mây cơ bản, gói dbt cơ bản và tất cả các phiên bản CLI khác không bị ảnh hưởng. Các nhà phát triển viết: “Người dùng đã cài đặt 0.23.3 hoặc đã kéo và chạy hình ảnh Docker bị ảnh hưởng nên cho rằng mọi thông tin xác thực có thể truy cập được vào môi trường nơi nó chạy có thể đã bị lộ”.
Tác nhân đe dọa đã có được quyền truy cập vào o tài khoản của nhà phát triển bằng cách khai thác lỗ hổng trong hành động GitHub mà họ đã tạo. Bằng cách đăng mã độc lên yêu cầu kéo, kẻ tấn công có thể chạy tập lệnh bash chạy bên trong tài khoản của nhà phát triển.
Tập lệnh bash đã lấy dữ liệu nhạy cảm. Với mã thông báo tài khoản và khóa ký, kẻ tấn công tiếp tục xuất bản gói dữ liệu phần tử độc hại gần như không thể phân biệt được với gói hợp pháp.
Các nhà phát triển đã biết về sự xâm phạm này từ báo cáo sự cố của bên thứ ba. Trong vòng ba giờ, gói hàng đã được gỡ bỏ.
Các nhà phát triển phần tử cho biết họ cũng đã luân chuyển tất cả thông tin xác thực mà mã độc có quyền truy cập. Họ đã tiếp tục khắc phục lỗ hổng và kiểm tra tất cả các hành động GitHub khác của mình để đảm bảo không có hành động nào có lỗ hổng tương tự.
Các nhà phát triển đang kêu gọi tất cả các nhà phát triển đã cài đặt phiên bản 0.23.3 thực hiện các bước sau ngay lập tức: 2. Nếu phiên bản là 0.23.3, hãy gỡ cài đặt và thay thế bằng phiên bản an toàn: Trong yêu cầu và tệp khóa của bạn, hãy ghim rõ ràng vào dữ liệu cơ bản==0.23.4.
4. Kiểm tra tệp đánh dấu của phần mềm độc hại trên bất kỳ máy nào mà CLI có thể đã chạy: Nếu có tệp này, tải trọng sẽ được thực thi trên máy đó.
5. Xoay c bất kỳ thông tin xác thực có thể truy cập được từ môi trường chạy 0.23.3 – hồ sơ dbt, thông tin xác thực kho, khóa nhà cung cấp đám mây, mã thông báo API, khóa SSH và nội dung của bất kỳ tệp .env nào.
Các trình chạy CI/CD đặc biệt dễ bị lộ vì chúng thường có nhiều bộ bí mật được gắn trong thời gian chạy. 6.
Liên hệ với nhóm bảo mật của bạn để tìm kiếm việc sử dụng trái phép thông tin xác thực bị lộ. Các IOC liên quan nằm ở cuối bài đăng này.
Trong thập kỷ qua, các cuộc tấn công chuỗi cung ứng vào các kho nguồn mở ngày càng trở nên phổ biến. Trong một số trường hợp, họ đã đạt được một chuỗi thỏa hiệp vì gói độc hại dẫn đến vi phạm của người dùng và từ đó, vi phạm do môi trường của người dùng bị xâm phạm.
HD Moore, một hacker với hơn bốn thập kỷ kinh nghiệm, đồng thời là người sáng lập và CEO của runZero, cho biết các quy trình làm việc trong kho lưu trữ do người dùng phát triển, chẳng hạn như các hành động của GitHub, nổi tiếng với các lỗ hổng lưu trữ.
Ông nói: “Đó là một vấn đề lớn đối với các dự án nguồn mở có kho lưu trữ mở”. “Thật khó để không vô tình tạo ra các quy trình công việc nguy hiểm có thể bị khai thác bởi yêu cầu kéo của kẻ tấn công.” Ông cho biết gói này có thể được sử dụng để kiểm tra các lỗ hổng như vậy .
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.