一个每月下载量超过100万次的开源软件包element-data遭到攻击者利用GitHub Actions漏洞入侵,窃取签名密钥后发布了恶意版本。恶意版本(0.23.3)会从受影响的系统中收集API令牌、SSH密钥和云提供商凭据等敏感信息。该恶意包在软件仓库中存在约12小时后被移除,安装过的用户应假设凭证已泄露。
背景
开源软件供应链攻击日益普遍,攻击者经常针对流行软件包分发恶意软件,从开发者和组织中窃取敏感数据。
- 来源
- Ars Technica
- 发布时间
- 2026年4月28日 05:04
- 评分
- 8.0 / 10