Un logiciel libre comptant 1 million de téléchargements mensuels a dérobé les identifiants des utilisateurs
-
Le logiciel libre elementary-data (plus d’un million de téléchargements mensuels) a été compromis après qu’un attaquant a exploité une faille dans une action GitHub utilisée par ses développeurs. En injectant du code malveillant via une demande de fusion, il a obtenu des jetons d’accès et des clés de signature, lui permettant de publier une fausse version légitime (0.23.3) sur PyPI et Docker.
Cette version malveillante, restée en ligne environ 12 heures, recherchait et exfiltrait des données sensibles : profils utilisateurs, identifiants d’entrepôts de données, clés cloud, jetons API, clés SSH et variables d’environnement. Les autres versions et produits de l’écosystème Element n’ont pas été touchés.
Les développeurs recommandent à tous les utilisateurs de la version 0.23.3 de la considérer comme totalement compromise : désinstaller immédiatement cette version, passer à la 0.23.4, effacer les caches, rechercher les fichiers marqueurs du malware, et surtout renouveler toutes les informations d’identification accessibles lors de son exécution, en particulier dans les environnements CI/CD.
L’incident illustre la montée des attaques contre la chaîne d’approvisionnement open source, où la compromission d’un dépôt peut servir de point d’entrée vers de nombreuses infrastructures. Selon le chercheur HD Moore, les workflows GitHub personnalisés représentent une faiblesse fréquente, particulièrement difficile à sécuriser dans les projets open source ouverts.
Les développeurs exhortent tous les développeurs ayant installé la version 0.23.3 à suivre immédiatement les étapes suivantes :
- Vérifiez votre version installée :
pip show elementary-data | grep Version
- Si la version est 0.23.3, désinstallez-la et remplacez-la par la version sécurisée :
pip uninstall elementary-data
pip install elementary-data==0.23.4
Dans vos fichiers de configuration et de verrouillage, indiquez explicitement elementary-data==0.23.4.
-
Supprimez vos fichiers cache pour éviter tout artefact.
-
Recherchez le fichier marqueur du logiciel malveillant sur toute machine sur laquelle l’interface de ligne de commande a pu être exécutée : si ce fichier est présent, la charge utile a été exécutée sur cette machine.
macOS / Linux: /tmp/.trinny-security-update
Windows: %TEMP%\.trinny-security-update
-
Remplacez toutes les informations d’identification accessibles depuis l’environnement d’exécution de la version 0.23.3 : profils dbt, identifiants d’entrepôt de données, clés de fournisseur cloud, jetons d’API, clés SSH et contenu des fichiers .env. Les exécuteurs CI/CD sont particulièrement vulnérables car ils utilisent généralement de nombreux secrets lors de leur exécution.
-
Contactez votre équipe de sécurité pour détecter toute utilisation non autorisée d’identifiants exposés. Les indicateurs de compromission pertinents se trouvent au bas de cette page .
Commence par faire le nécessaire, puis fait ce qu'il est possible de faire, et peut-être finiras-tu par réaliser l'impossible.
-
Le logiciel libre elementary-data (plus d’un million de téléchargements mensuels) a été compromis après qu’un attaquant a exploité une faille dans une action GitHub utilisée par ses développeurs. En injectant du code malveillant via une demande de fusion, il a obtenu des jetons d’accès et des clés de signature, lui permettant de publier une fausse version légitime (0.23.3) sur PyPI et Docker.
Cette version malveillante, restée en ligne environ 12 heures, recherchait et exfiltrait des données sensibles : profils utilisateurs, identifiants d’entrepôts de données, clés cloud, jetons API, clés SSH et variables d’environnement. Les autres versions et produits de l’écosystème Element n’ont pas été touchés.
Les développeurs recommandent à tous les utilisateurs de la version 0.23.3 de la considérer comme totalement compromise : désinstaller immédiatement cette version, passer à la 0.23.4, effacer les caches, rechercher les fichiers marqueurs du malware, et surtout renouveler toutes les informations d’identification accessibles lors de son exécution, en particulier dans les environnements CI/CD.
L’incident illustre la montée des attaques contre la chaîne d’approvisionnement open source, où la compromission d’un dépôt peut servir de point d’entrée vers de nombreuses infrastructures. Selon le chercheur HD Moore, les workflows GitHub personnalisés représentent une faiblesse fréquente, particulièrement difficile à sécuriser dans les projets open source ouverts.
Les développeurs exhortent tous les développeurs ayant installé la version 0.23.3 à suivre immédiatement les étapes suivantes :
- Vérifiez votre version installée :
pip show elementary-data | grep Version
- Si la version est 0.23.3, désinstallez-la et remplacez-la par la version sécurisée :
pip uninstall elementary-data
pip install elementary-data==0.23.4
Dans vos fichiers de configuration et de verrouillage, indiquez explicitement elementary-data==0.23.4.
-
Supprimez vos fichiers cache pour éviter tout artefact.
-
Recherchez le fichier marqueur du logiciel malveillant sur toute machine sur laquelle l’interface de ligne de commande a pu être exécutée : si ce fichier est présent, la charge utile a été exécutée sur cette machine.
macOS / Linux: /tmp/.trinny-security-update
Windows: %TEMP%\.trinny-security-update
-
Remplacez toutes les informations d’identification accessibles depuis l’environnement d’exécution de la version 0.23.3 : profils dbt, identifiants d’entrepôt de données, clés de fournisseur cloud, jetons d’API, clés SSH et contenu des fichiers .env. Les exécuteurs CI/CD sont particulièrement vulnérables car ils utilisent généralement de nombreux secrets lors de leur exécution.
-
Contactez votre équipe de sécurité pour détecter toute utilisation non autorisée d’identifiants exposés. Les indicateurs de compromission pertinents se trouvent au bas de cette page .
@duJambon Là, je suis content de rien y connaitre! Ça fait peur ton truc!
Bonjour ! Vous semblez intéressé par cette conversation, mais vous n’avez pas encore de compte.
Marre de refaire défiler les mêmes messages ? Créez un compte pour retrouver votre position, recevoir des notifications des nouvelles réponses, sauvegarder vos favoris et voter pour les messages que vous appréciez.
Grâce à votre participation, ce message peut devenir encore meilleur 💗
S'inscrire Se connecter