Pacote open source com 1 milhão de downloads mensais roubou credenciais de usuários

Atacantes exploraram uma falha no GitHub Actions do projeto element-data para roubar chaves de assinatura. Em seguida, eles distribuíram uma release maliciosa (versão 0.23.3) que exfiltrava credenciais de warehouse, chaves de cloud, tokens de API, chaves SSH e conteúdos de variáveis de ambiente, antes de ser removida aproximadamente 12 horas depois. Usuários afetados devem instalar a versão 0.23.4, verificar a existência do arquivo marcador 'trinny', limpar caches e rotacionar os segredos expostos.