【要約】Open source package with 1 million monthly downloads stole user credentials [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
課題は以下の通りだ。
- ・GitHub Actionsのワークフローに脆弱性が存在。
- ・悪意あるPRにより、開発者権限でスクリプトが実行された。
- ・署名鍵やアカウントトークンが奪取された。
- ・正規と見分けがつかない悪意あるパッケージが配布された。
// Approach
以下の手順で対応を行う。
【開発者の対応】
【開発者の対応】
1.悪意あるパッケージの削除。
2.全認証情報のローテーション。
3.脆弱性の修正と全GitHub Actionsの監査。
【ユーザーの対応】1.バージョン確認:
pip show elementary-data | grep Version2.安全な版への更新:
pip install elementary-data==0.23.43.キャッシュの削除。
4.痕跡確認:
/tmp/.trinny-security-update 等。5.環境内の全機密情報のローテーション。
// Result
報告から3時間以内にパッケージを削除した。開発者は脆弱性を修正し、全GitHub Actionsの監査を実施した。ユーザーには、dbt、クラウド、API、SSH、.env等の全認証情報のローテーションを強く求めている。
Senior Engineer Insight
> CI/CDは攻撃者の「特権昇格の踏み台」だ。GitHub Actionsの設計ミスは、プロジェクトを崩壊させる。特に、PRから自動実行されるスクリプトの権限管理は重要だ。CI/CDランナーに広範なシークレットをマウントする運用は、極めてリスクが高い。信頼するパッケージであっても、最小権限の原則を徹底すべきだ。