월 100만 다운로드를 기록하는 오픈 소스 패키지가 사용자 자격 증명을 탈취했다
Source: Ars Technica
즉각적인 복구 단계
-
설치된 버전 확인
pip show elementary-data | grep Version -
버전이
0.23.3인 경우, 제거하고 안전한 버전 설치pip uninstall elementary-data pip install elementary-data==0.23.4requirements.txt와 lock 파일에서는elementary-data==0.23.4를 명시적으로 고정하십시오. -
캐시 파일 삭제 – 모든 잔여물을 방지합니다.
-
악성 마커 파일 찾기 – CLI가 실행되었을 수 있는 모든 머신에서 이 파일을 확인하십시오. 파일이 존재하면 해당 머신에서 페이로드가 실행된 것입니다.
- macOS / Linux:
/tmp/.trinny-security-update - Windows:
%TEMP%\.trinny-security-update
- macOS / Linux:
-
노출된 자격 증명 회전 –
0.23.3이 실행된 환경에서 접근 가능했던 모든 자격 증명(예: dbt 프로파일, 데이터 웨어하우스 자격 증명, 클라우드 제공자 키, API 토큰, SSH 키,.env파일 내용)을 교체하십시오. CI/CD 러너는 런타임에 다수의 비밀이 마운트되는 경우가 많아 특히 위험합니다. -
보안 팀에 연락하여 노출된 자격 증명의 무단 사용을 조사하도록 요청하십시오. 관련 IOCs는 사고 보고서 하단에 나와 있습니다:
Security incident report – malicious release of elementary‑oss‑python‑cli v0.23.3.
공급망 공격 배경
지난 10년간 오픈소스 저장소에 대한 공급망 공격이 점점 더 흔해지고 있습니다. 악성 패키지가 사용자 침해를 일으키고, 이는 다시 사용자의 환경을 위협하는 연쇄적인 영향을 미칩니다.
전문가 의견
보안 연구원 겸 runZero 창립자/CEO인 HD Moore는 GitHub Actions와 같은 사용자‑작성 레포지토리 워크플로우가 취약점을 내포하기 쉬운 것으로 유명하다고 지적합니다.
“오픈소스 프로젝트가 공개 레포를 가지고 있으면 큰 문제입니다. 공격자의 풀 리퀘스트에 의해 악용될 수 있는 위험한 워크플로우를 실수로 만들지 않기가 정말 어렵습니다.”
그는 다음 도구를 사용해 이러한 취약점을 검사할 것을 권장합니다:
https://github.com/zizmorcore/zizmor