Ein Angreifer hat das Python-Tool zur Datenüberwachung, elementary-data, in einer manipulierten Version 0.23.3 auf PyPI hochgeladen. Das gefälschte Release stiehlt Credentials wie SSH-Schlüssel, AWS-Zugangsdaten, API-Tokens und Wallet-Dateien verschiedener Kryptowährungen. Mittlerweile hat der Anbieter Elementary das kompromittierte Paket entfernt, es konnte aber knapp einen halben Tag lang Schaden anrichten.

Die schädliche Version 0.23.3 von elementary-data hatte der Angreifer, der sich hinter dem wenige Tage alten GitHub-Account realtungtungtungsahur versteckte, am 25. April um 0:20 MESZ auf PyPI hochgeladen, gefolgt von einem kompromittierten Docker-Image, das um 0:24 Uhr seinen Weg in die GitHub Container Registry fand.

Etwas mehr als 11 Stunden später, am 25. April um 11:45 Uhr, entfernte das Elementary-Team die schädlichen Dateien und ersetzte sie durch die bereinigte Version 0.23.4. Die Elementary Cloud, das Elementary dbt-Paket und andere Versionen des CLI-Tools waren laut Team nicht von diesem Vorfall betroffen. Mittlerweile hat der Anbieter auch einen vollständigen Sicherheitsbericht veröffentlicht, der die Timeline, Ursachenanalyse und alle Gegenmaßnahmen enthält.

Allein im letzten Monat verzeichnete elementary-data laut pypistats.org mehr als eine Million Downloads, was das Open-Source-CLI zu einem der am häufigsten genutzten Monitoring- und Diagnose-Tools für dbt-basierte Datenplattformen macht. Im Fall eines erfolgreich durchgeführten Angriffs stehen damit auch die Chancen gut, Zugriff auf entsprechende Secrets zu erhalten.

Angriff über GitHub Actions

Der Angreifer nutzt eine Script-Injection-Schwachstelle in einem der GitHub-Actions-Workflows von elementary-data aus, um eigenen Code innerhalb der Pipeline auszuführen. Mit dem automatisch bereitgestellten GITHUB_TOKEN löste er anschließend den Release-Workflow release.yml per workflow_dispatch aus. Er hatte dafür einen Pull Request mit Schadcode eingebracht, musste ihn aber weder mergen noch den Master-Branch direkt verändern.

Der Schadcode steckt in der Datei elementary.pth, die sich im Verzeichnis site-packages des Pakets findet, und hat ein breites Spektrum sensibler Daten im Visier: SSH-Schlüssel, Zugangsdaten für die AWS-Cloud und Secrets für Docker und Kubernetes. Auch Wallet-Dateien von Kryptowährungen wie Bitcoin, Litecoin, Dogecoin und Ethereum gehören zu den Zielobjekten. Die gestohlenen Daten wurden in der Datei trin.tar.gz zusammengefasst und an die Adresse igotnofriendsonlineorirl-imgonnakmslmao.skyhanni.cloud exfiltriert. Der Vorfall ist auch unter MAL-2026-3083 im Open-Source-Schwachstellenregister OSV katalogisiert.

Gegenmaßnahmen

Anwenderinnen und Anwender, die die betroffene Version 0.23.3 installiert haben, sollten umgehend handeln. Das Elementary-Team empfiehlt, grundsätzlich einen Versions-Check mit

pip show elementary-data | grep Version

durchzuführen. Anschließend gelte es, Version 0.23.3 mit

pip uninstall elementary-data

zu deinstallieren und durch die sichere Version zu ersetzen:

pip install elementary-data==0.23.4

Ferner sollten Nutzerinnen und Nutzer die Version in den requirements-Dateien und Lockfiles auf elementary-data==0.23.4 festlegen sowie im letzten Schritt sämtliche mit elementary-data genutzten Zugangsdaten erneuern.

Darüber hinaus empfiehlt das Team, Cache-Dateien zu löschen und auf allen potenziell betroffenen Systemen nach der Marker-Datei des Schadcodes zu suchen: Unter macOS und Linux liegt sie unter /tmp/.trinny-security-update, unter Windows unter %TEMP%\.trinny-security-update. Ist die Datei vorhanden, war der Schadcode auf dem jeweiligen System aktiv.

Parallel dazu hat das Elementary-Team den PyPI-Publish-Token, den GitHub-Token und die Docker-Registry-Credentials rotiert sowie den anfälligen GitHub-Actions-Workflow entfernt und alle übrigen Workflows geprüft.

Sicherheitsprobleme im Open-Source-Ökosystem und der Lieferkette sind nach wie vor allgegenwärtig. KI-Agenten können dabei helfen, dieses Problem in den Griff zu bekommen.

(mro)

Die kriminelle Gruppierung ShinyHunters hat bei ihrem Einbruch beim Dienstleister Anodot auch Daten von Vimeo kopiert. Da das Unternehmen offenbar nicht auf den Erpressungsversuch einging, stellt die Cyberbande die ergatterten Daten nun als kostenlosen Download ins Darknet.

Am frühen Mittwoch lautete der Eintrag auf der Darknet-Leaksite von ShinyHunters noch, dass Vimeo nur noch kurze Zeit hat, auf die Erpresser zuzugehen. Am Donnerstag dieser Woche zeigt der Eintrag nun einen Download-Link auf die Daten an.

Vimeo räumt Datenabfluss ein

Vimeo hat unterdessen auf der Webseite des Unternehmens den IT-Sicherheitsvorfall eingeräumt. Demnach weiß Vimeo von dem Einbruch beim Analysedienstleister Anodot. Ein unbefugter Akteur hat demnach auf bestimmte Vimeo-User- und -Kundendaten zugegriffen. Dem bisherigen Untersuchungsstand nach enthalten die Datenbanken im Wesentlichen technische Daten, Video-Titel und Metadaten sowie in einigen Fällen E-Mail-Adressen von Kunden. Es seien jedoch keine Vimeo-Videoinhalte, gültige Zugangsdaten von Nutzern oder Zahlungsinformationen darunter.

Demnach sind die User- und Kunden-Anmeldedaten von Vimeo sicher. Der Vorfall habe auch keine Unterbrechungen oder Störungen der Systeme oder Dienste verursacht. Als Vimeo vom IT-Vorfall erfuhr, deaktivierte das Unternehmen alle Anodot-Zugangsdaten, entfernte die Integration von Anodot in Vimeo-Systeme und engagierte externe IT-Sicherheitsexperten, um den Vorfall zu untersuchen. Die Strafverfolger hat das Unternehmen ebenfalls informiert. Die Untersuchungen dauern demnach noch an.

Beim Dienstleister Anodot hat die kriminelle Vereinigung ShinyHunters Daten von mehreren Unternehmen abgezogen. Etwa die Modekette Zara ist ebenfalls betroffen, auch hier haben die Täter die Daten ins Darknet gestellt.

(dmk)

Eine Schwachstelle im FTP-Server ProFTPD kann zur Ausführung eingeschleusten Schadcodes führen. Das Sicherheitsleck findet sich im mitgelieferten mod_sql. Ein Proof-of-Concept-Exploit ist bereits verfügbar.

Laut der Schwachstellenbeschreibung ist mod_sql von ProFTPD vor der Version 1.3.10rc1 von der Sicherheitslücke betroffen. Durch den übertragenen Nutzernamen können bösartige Akteure aus dem Netz ohne vorherige Anmeldung beliebige SQL-Befehle und Schadcode einschleusen. Das gelingt in Szenarien, die USER-Anfragen mit Erweiterungen wie „%U“ loggen und in denen das SQL-Backend Befehle zulässt, beispielsweise „COPY TO PROGRAM“ (CVE-2026-42167, CVSS 8.1, Risiko „hoch“).

Aktualisierte Software

ProFTPD 1.3.10rc1 ist am Montag erschienen und schließt die Sicherheitslücke, wie die Release-Notizen anzeigen. Die Entwickler haben zudem einen Backport des Sicherheitsfixes programmiert, ProFTPD 1.3.9a stopft das Sicherheitsleck ebenfalls.

Welche Systeme konkret betroffen sind, ist jedoch unklar. Einige große Distributionen wie Ubuntu bieten das mod_sql für ProFTPD als zusätzliches Installationspaket an, es kommt in der Standardinstallation also nicht unbedingt mit. Admins sollten daher prüfen, ob sie das mod_sql etwa für Logging in Datenbanken überhaupt einsetzen.

Die Internet-Dienst-Datenbank Shodan listet aktuell rund 690.000 ProFTPD-Instanzen weltweit. Die meisten davon, über 133.000, laufen in Deutschland, erst an zweiter Stelle folgen die USA.

ProFTPD ist bereits lange stabil, größere Sicherheitslücken finden sich nur noch selten darin. Etwa Ende November 2024 wurde aber etwa eine Rechteausweitungslücke in ProFTPD entdeckt. Auch damals war das mod_sql Auslöser für die Sicherheitswarnung. Wurde mod_sql in ProFTPD genutzt, ermöglichte das unberechtigten Zugriff auf Dateien und Ordner mit Root-Gruppenrechten (GID 0).

(dmk)