#자격 증명 탈취

월 100만 다운로드 오픈소스 패키지, 사용자 자격 증명 탈취

머신러닝 시스템 모니터링에 쓰이는 오픈소스 CLI 도구(elementary-data)의 GitHub Actions 취약점을 통해 해커가 서명 키를 탈취해 악성 버전(0.23.3)을 배포했습니다. 해당 버전을 설치한 환경의 클라우드 키, SSH 키, API 토큰 등 모든 자격 증명이 유출되었을 가능성이 큽니다. 개발자들은 즉시 패키지 삭제 및 안전한 버전(0.23.4) 설치, 그리고 모든 민감 정보 및 키(key) 로테이션을 권고하고 있습니다.