Adroddodd Elementary Data am berygl i'w llif gwaith GitHub Actions, gan ganiatΓ‘u i ymosodwyr gyhoeddi fersiwn o'r pecyn elementary-data, fersiwn 0.23.3, i PyPI ac ystorfa GitHub, wedi'i chwistrellu Γ’ chod maleisus a gynlluniwyd i ddwyn gwybodaeth sensitif o systemau defnyddwyr. Cynhwyswyd y fersiwn faleisus hefyd yn nelwedd swyddogol Docker y prosiect. Y mis diwethaf, lawrlwythwyd y pecyn elementary-data o ystorfa PyPI dros 1.1 miliwn o weithiau.
Cyhoeddwyd y datganiad maleisus ar Ebrill 25 am 1:20 AM (MSK) ac arhosodd ar gael i'w lawrlwytho am dros 11 awr (tan 12:45 PM). Cynhaliwyd yr ymosodiad trwy anfon cais tynnu gyda sylw wedi'i lunio'n arbennig yn manteisio ar wendid yn y trinwr Gweithredu GitHub a ddeffrowyd yn awtomatig. Llwyddodd yr ymosodwyr i redeg gorchmynion cragen yn yr amgylchedd integreiddio parhaus ac echdynnu cynnwys y newidyn amgylcheddol GITHUB_TOKEN, a oedd yn cynnwys y tocyn mynediad i'r storfa. Defnyddiwyd y tocyn hwn i greu sawl cangen Git a pharatoi'r datganiad.
Roedd datganiad cyhoeddedig yr ymosodwyr yn cynnwys cod maleisus wedi'i amgodio ar fformat base64 ac wedi'i actifadu wrth osod y pecyn. Sganiodd y cod maleisus y system ac anfon data sensitif, gan gynnwys allweddi SSH ac SSL/TLS, cynnwys newidynnau amgylcheddol, manylion mewngofnodi AWS, GCP, Azure, a K8s, allweddi waled cryptocurrency, cyfrineiriau DBMS, hanes dehonglydd gorchmynion, a ffeiliau ffurfweddu o Git, CI/CD, rheolwyr pecynnau, a Docker.
Ffynhonnell: opennet.ru
