深度分析
element-data 套件遭供應鏈攻擊:CI/CD 工作流程被濫用致簽章與憑證外洩
一款每月下載逾一百萬次的開源CLI套件被入侵,攻擊者利用開發者帳號工作流程中的漏洞取得簽章金鑰與存取令牌。惡意版本會在執行環境掃尋使用者資料、資料倉儲憑證與雲端金鑰等敏感資訊。開發團隊已移除惡意發佈並修補漏洞,呼籲受影響用戶更新安全版本與旋轉憑證。
element-data
深度分析
element-data(v0.23.3)遭惡意發布,攻擊者利用 GitHub Actions 取得 PyPI 與 Docker 憑證
一個月逾百萬次下載的開源套件遭惡意版本入侵,攻擊者濫用開發者帳號工作流程取得簽章金鑰等敏感資料。惡意套件會掃描系統以竊取使用者檔案、倉儲與雲端金鑰、API與SSH憑證。開發者已下架受害版本並建議受影響用戶旋轉憑證與檢查痕跡。並呼籲檢視CI/CD與GitHubActions工作流程以移除類似風險,並釐清可能的憑證濫用與外洩範圍。
深度分析
element-data 套件遭供應鏈攻擊:GitHub Actions 憑證與簽章金鑰外洩並發布惡意版本
一個月下載量超過百萬的開源套件element-data因GitHubActions漏洞被植入惡意版本0.23.3,攻擊者竊取環境憑證。開發團隊快速撤下並更新至0.23.4,提醒使用者檢查、移除與重新設定密鑰。此事件突顯供應鏈安全風險。開發者也應檢視CI/CD工作流程的安全設計。
深度分析
「element-data」Python 套件遭 GitHub Actions 漏洞植入惡意版本 0.23.3 供應鏈攻擊案例
開源套件element-data因GitHub Action漏洞被植入惡意版本0.23.3,下載量逾百萬。攻擊者盜取簽章金鑰與環境憑證,散布至使用者系統,迫使開發者緊急更新並重新設定密鑰。此事件凸顯供應鏈安全風險。研究顯示此類攻擊可波及CI/CD環境,需加強工作流程審核。