Un package open source, téléchargé plus d’un million de fois par mois, a été piraté. Les attaquants ont exploité une vulnérabilité pour voler des informations sensibles des utilisateurs.
Un logiciel open source, utilisé par de nombreux développeurs pour surveiller les performances des systèmes d’apprentissage automatique, a été compromis, entraînant des risques pour la sécurité des utilisateurs. Le package, nommé element-data, a enregistré plus d’un million de téléchargements mensuels avant qu’une vulnérabilité dans le flux de travail des développeurs ne soit exploitée par des attaquants inconnus. Ces derniers ont pu accéder aux clés de signature et à d’autres informations sensibles, permettant la diffusion d’une version malveillante du logiciel. Cette version, identifiée comme 0.23.3, a été publiée sur l’index de packages Python et les comptes d’image Docker des développeurs. Environ 12 heures après sa publication, la version malveillante a été retirée. Selon les développeurs, toute personne ayant installé la version 0.23.3 ou exécuté l’image Docker affectée devrait considérer que ses informations d’identification accessibles à l’environnement dans lequel le logiciel a été exécuté pourraient avoir été exposées. Les données sensibles ciblées comprenaient des profils d’utilisateur, des informations d’identification d’entrepôt, des clés de fournisseur de cloud, des jetons API et des clés SSH. Il est à noter que d’autres packages comme Elementary Cloud et Elementary dbt n’ont pas été affectés par cette compromission. Ce cas met en lumière les risques potentiels associés à l’utilisation de logiciels open source, surtout ceux ayant une grande adoption, et souligne l’importance de maintenir une vigilance constante en matière de sécurité. Les utilisateurs et les développeurs sont donc avertis de revoir leurs pratiques de sécurité afin de minimiser les impacts d’une telle attaque à l’avenir.