นักพัฒนาซอฟต์แวร์โอเพนซอร์ส element-data ซึ่งเป็น CLI สำหรับตรวจสอบประสิทธิภาพของระบบ machine learning ถูกโจมตีเมื่อวันศุกร์ที่ผ่านมา ผู้โจมตีใช้ช่องโหว่ใน GitHub action เพื่อเข้าถึง signing keys และข้อมูลสำคัญอื่นๆ จากนั้นปล่อยเวอร์ชัน 0.23.3 ที่มีโค้ดอันตราย ซึ่งเมื่อรันจะขโมย credentials ต่างๆ เช่น user profiles, warehouse credentials, cloud provider keys, API tokens และ SSH keys

แพ็กเกจดังกล่าวถูกปล่อยบน PyPI และ Docker image และถูกนำออกหลังจาก 12 ชั่วโมง นักพัฒนาแนะนำให้ผู้ใช้ที่ติดตั้งเวอร์ชัน 0.23.3 หรือรัน Docker image ที่ได้รับผลกระทบ สันนิษฐานว่า credentials ทั้งหมดที่เข้าถึงได้อาจถูกเปิดเผย และควรเปลี่ยน credentials ทั้งหมดทันที

ที่มา: Ars Technica

คำศัพท์เทคนิคที่น่าสนใจ

• CLI – เครื่องมือบรรทัดคำสั่ง
• signing keys – คีย์ที่ใช้เซ็นยืนยันความถูกต้องของซอฟต์แวร์
• credentials – ข้อมูลรับรองตัวตน เช่น ชื่อผู้ใช้และรหัสผ่าน
• GitHub action – ฟีเจอร์ของ GitHub สำหรับทำงานอัตโนมัติ