Malware verspreid via "elementary-data" package op PyPI

In dit artikel:

Aanvallers plaatsten op 24 april een malafide release van het populaire Python-pakket elementary-data op PyPI. De kwaadaardige code — ingebed in het bestand elementary.pth — was ontworpen om gevoelige gegevens en informatie uit cryptowallets te stelen. De nepversie is intussen van PyPI verwijderd.

De toegang werd verkregen door misbruik van een injectiekwetsbaarheid in een GitHub Actions-workflow van het project: een speciaal geplaatste comment op een pull request maakte het mogelijk een GITHUB_TOKEN te bemachtigen. Met dat token konden de aanvallers een nieuwe release aanmaken en via de bestaande releasepipeline op PyPI publiceren. Volgens securitybedrijf StepSecurity hebben systemen die afhankelijk zijn van niet-gepinde (niet-gespecificeerde) versies de malafide release automatisch binnengehaald.

Aanbevolen maatregelen zijn onder meer versies pinnen, CI/CD-workflows en permissions herzien, tokens roteren en dependency-scans toepassen om herhaling te voorkomen.