深度分析 「element-data」Python 套件遭 GitHub Actions 漏洞植入惡意版本 0.23.3 供應鏈攻擊案例 開源套件element-data因GitHub Action漏洞被植入惡意版本0.23.3,下載量逾百萬。攻擊者盜取簽章金鑰與環境憑證,散布至使用者系統,迫使開發者緊急更新並重新設定密鑰。此事件凸顯供應鏈安全風險。研究顯示此類攻擊可波及CI/CD環境,需加強工作流程審核。
