github-actions

深度分析

element-data（v0.23.3）遭惡意發布，攻擊者利用 GitHub Actions 取得 PyPI 與 Docker 憑證

一個月逾百萬次下載的開源套件遭惡意版本入侵，攻擊者濫用開發者帳號工作流程取得簽章金鑰等敏感資料。惡意套件會掃描系統以竊取使用者檔案、倉儲與雲端金鑰、API與SSH憑證。開發者已下架受害版本並建議受影響用戶旋轉憑證與檢查痕跡。並呼籲檢視CI/CD與GitHubActions工作流程以移除類似風險，並釐清可能的憑證濫用與外洩範圍。