Populární open-source nástroj používaný při práci se strojovým učením byl napaden poté, co útočníci zneužili slabinu v jeho vývojovém procesu. Díky tomu se jim podařilo rozšířit mezi uživatele škodlivou aktualizaci.
Postižený software, element-data, je nástroj ovládaný přes příkazový řádek (terminál), který slouží k monitorování výkonu a odhalování problémů v systémech strojového učení. Kompromitovaná verze – označená jako 0.23.3 – byla krátce zveřejněna jak v Python Package Index (online repozitář softwarových balíčků), tak ve službě Docker (kde se aplikace šíří ve formě tzv. image, tedy připravených balíčků pro snadné spuštění), než byla zhruba o dvanáct hodin později odstraněna.
Podle vývojářů byl škodlivý balíček schopen prohledávat systémy a hledat citlivé informace, včetně uživatelských profilů, přístupových údajů do cloudu, API tokenů a SSH klíčů.
„Uživatelé, kteří nainstalovali verzi 0.23.3 nebo kteří stáhli a spustili postižený Docker image, by měli předpokládat, že jakékoli přihlašovací údaje přístupné v prostředí, kde byl spuštěn, mohly být odhaleny,“ varoval tým vývojářů.
Útok byl vysledován ke zranitelnosti v automatizovaném vývojovém nástroji GitHub Actions. Odesláním škodlivého návrhu změn (tzv. pull requestu) dokázali útočníci spustit skript přímo v prostředí vývojářů. Ten následně získal citlivá data, včetně přístupových tokenů a bezpečnostních klíčů, které byly využity k publikování napadeného balíčku.
Protože se škodlivá verze velmi podobala té legitimní, bylo ji zpočátku obtížné odhalit. Vývojáři proto vyzvali uživatele, kteří si napadenou verzi nainstalovali, aby ji okamžitě odstranili, aktualizovali na bezpečnou verzi, vymazali mezipaměť a zkontrolovali své systémy na přítomnost malwaru.
Zároveň doporučují změnit všechna přihlašovací jména a hesla, která mohla být ohrožena – zejména v automatizovaných vývojových procesech (tzv. CI/CD pipeline), kde bývá přístup k citlivým datům širší.
Incident zároveň upozorňuje na rostoucí problém v softwarovém světě: útoky na dodavatelský řetězec zaměřené na open-source projekty. Kompromitací široce používaného balíčku mohou útočníci získat přístup k dalším navazujícím systémům.
„Pro open source projekty s otevřenými repozitáři jde o velký problém, protože je těžké nechtěně nevytvořit pracovní postupy, které může útočník zneužít prostřednictvím pull requestu,“ okomentoval případ pro magazín ArsTechnica HD Moore, šéf společnosti runZero.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU