本质新闻

一个月下载量超百万的开源软件包elementary-data的0.23.3版本被发现含恶意代码，可窃取用户系统中的敏感凭证。开发者紧急呼吁用户立即卸载该版本并升级至0.23.4，同时清理缓存、检查临时目录中是否存在恶意标记文件，并立即轮换所有可能暴露的凭据，包括数据库配置、云服务密钥、API令牌及CI/CD环境中的密钥。该事件凸显开源生态中供应链攻击风险，安全专家指出，开放仓库中的自动化工作流易被恶意利用，构成重大安全隐患。