El desarrollador insta a todos los desarrolladores que instalen la versión 0.23.3 a seguir inmediatamente los siguientes pasos:
1. Verifique su versión instalada:
pip show elementary-data | grep Version2. Si la versión es 0.23.3, desinstálela y reemplácela con una versión segura:
pip uninstall elementary-data
pip install elementary-data==0.23.4En sus requisitos y archivos clave, incruste explícitamente los datos base==0.23.4.
3. Elimine sus archivos de caché para evitar artefactos.
4. Verifique si hay archivos de indicadores de malware en cualquier máquina que pueda estar ejecutando la CLI: si estos archivos están presentes, la carga útil se está ejecutando en esas máquinas.
macOS / Linux: /tmp/.trinny-security-update
Windows: %TEMP%\\.trinny-security-update5. Rote todas las credenciales a las que se pueda acceder desde el entorno donde se ejecuta 0.23.3: perfiles dbt, credenciales del repositorio, claves del proveedor de la nube, tokens API, claves SSH y el contenido de cualquier archivo .env. Los ejecutores de CI/CD están especialmente expuestos porque normalmente tienen un conjunto de secretos instalados en tiempo de ejecución.
6. Comuníquese con su equipo de seguridad para buscar uso no autorizado de credenciales expuestas. Los COI pertinentes son al final de esta publicación.
Durante la última década, los ataques a la cadena de suministro contra repositorios de código abierto se han vuelto cada vez más comunes. En algunos casos, han logrado una serie de compromisos debido a paquetes maliciosos que provocan violaciones de los usuarios y, de allí, violaciones resultantes de compromisos del entorno del usuario.
HD Moore, un hacker con más de cuatro décadas de experiencia y fundador y director ejecutivo de runZero, dijo que los flujos de trabajo de repositorios desarrollados por los usuarios, como las acciones de GitHub, son conocidos por sus vulnerabilidades de alojamiento.
Este es “un gran problema para los proyectos de código abierto con repositorios abiertos”, dijo. “Es muy difícil no crear inadvertidamente un flujo de trabajo malicioso que pueda ser explotado por la solicitud de extracción de un atacante”.
el dice este paquete se puede utilizar para comprobar dichas vulnerabilidades.
