Un paquete de software de código abierto, que cuenta con más de 1 millón de descargas mensuales, fue comprometido tras la explotación de una vulnerabilidad en el flujo de trabajo de la cuenta de los desarrolladores. Esta brecha permitió a atacantes desconocidos acceder a claves de firma y otra información sensible. El viernes, los atacantes publicaron una nueva versión del paquete element-data, diseñado para monitorizar el rendimiento en sistemas de aprendizaje automático. Esta versión maliciosa, etiquetada como 0.23.3, escaneaba los sistemas en busca de datos sensibles, incluyendo perfiles de usuario y credenciales de proveedores de nube. Aunque el paquete fue retirado aproximadamente 12 horas después, los desarrolladores advierten que los usuarios que lo instalaron deben asumir que sus credenciales podrían haber sido expuestas.
Puntos clave:
- Un paquete de código abierto con más de 1 millón de descargas fue comprometido.
- Los atacantes explotaron una vulnerabilidad en el flujo de trabajo de los desarrolladores.
- La versión maliciosa 0.23.3 escaneaba sistemas en busca de datos sensibles.
- Se recomienda a los usuarios que instalaron esta versión que asuman la posible exposición de sus credenciales.
Categoría
Tecnología (Ciberseguridad)
Fuente
Análisis, redacción, categorización y etiquetado asistido por IA.