Cảnh báo bảo mật: Gói mã nguồn mở 'element-data' bị tấn công, đánh cắp thông tin người dùng

Một phần mềm mã nguồn mở có hơn 1 triệu lượt tải xuống mỗi tháng vừa trở thành nạn nhân của một cuộc tấn công bảo mật nghiêm trọng. Kẻ tấn công đã khai thác lỗ hổng trong quy trình tài khoản của nhà phát triển để chiếm quyền kiểm soát các khóa ký và thông tin nhạy cảm khác.

Vào thứ Sáu vừa qua, các kẻ tấn công chưa xác định đã lợi dụng lỗ hổng này để tung ra một phiên bản mới của element-data. Đây là một giao diện dòng lệnh (CLI) giúp người dùng giám sát hiệu suất và phát hiện bất thường trong các hệ thống học máy (machine learning).

Mã độc đánh cắp dữ liệu

Theo các nhà phát triển, khi được thực thi, gói phần mềm độc hại này sẽ quét hệ thống để tìm kiếm dữ liệu nhạy cảm. Các mục tiêu bao gồm hồ sơ người dùng, thông tin xác thực của kho dữ liệu (warehouse credentials), khóa của các nhà cung cấp đám mây, token API và cả khóa SSH.

Phiên bản độc hại này được gắn thẻ là 0.23.3 và đã được xuất bản lên tài khoản Python Package Index (PyPI) và tài khoản Docker image của nhóm phát triển. May mắn thay, phiên bản này đã được gỡ bỏ sau khoảng 12 giờ, vào thứ Bảy.

Khuyến cáo khẩn cấp

Nhóm phát triển khẳng định rằng Elementary Cloud, gói Elementary dbt và tất cả các phiên bản CLI khác không bị ảnh hưởng. Tuy nhiên, họ đưa ra cảnh báo mạnh mẽ đối với những người đã cài đặt phiên bản bị lỗi.

"Người dùng đã cài đặt phiên bản 0.23.3, hoặc đã kéo và chạy Docker image bị ảnh hưởng, nên coi như mọi thông tin xác thực có thể truy cập được bởi môi trường chạy đó đều đã bị lộ," các nhà phát triển viết.

Nếu bạn đang sử dụng công cụ này, việc kiểm tra và xoay vòng (rotate) các khóa bảo mật ngay lập tức là điều cần thiết để ngăn chặn thiệt hại thêm.