深度分析 elementary-data 套件遭供應鏈攻擊:惡意 0.23.3 利用 GitHub Actions 竊取憑證 一個月下載量逾百萬的開源套件遭攻擊並被植入惡意版本。受影響的是用於監測機器學習系統的CLI工具elementary-data。惡意程式會掃描系統以竊取使用者描述檔、倉庫與雲端金鑰、API及SSH權杖。維護團隊已撤回惡意發布並要求用戶更換憑證。同時建議檢查暫存並審核GitHub工作流程。
