كشف مستودع PyPI عن حوالي 5000 سر متبقي في الكود و8 أدوات تشويش خبيثة

نشر باحثو GitGuardian نتائج تحليل البيانات الحساسة التي نسيها المطورون في التعليمات البرمجية المستضافة في مستودع PyPI (Python Package Index) لحزم Python. وبعد دراسة أكثر من 9.5 مليون ملف و5 ملايين إصدار حزمة مرتبطة بـ 450 ألف مشروع، تم تحديد 56866 حالة تسرب للبيانات السرية. إذا أخذنا في الاعتبار البيانات الفريدة فقط، دون التكرار في الإصدارات المختلفة، فإن عدد التسريبات التي تم تحديدها كان 3938، وكان عدد المشاريع التي بها تسرب واحد على الأقل 2922.

في المجمل، تم تحديد أكثر من 150 نوعًا من تسرب المعلومات السرية، بما في ذلك كلمات المرور العادية ومفاتيح التشفير ورموز الوصول للخدمات السحابية وأنظمة التكامل المستمر وواجهات برمجة التطبيقات. ظلت أوراق اعتماد 768 على الأقل نشطة في وقت الدراسة. تتضمن أمثلة التسريبات الشائعة التي تظل ذات صلة مفاتيح الوصول لـ Azure Active Directory وبيانات اعتماد SSH وMongoDB وMySQL وPostgreSQL ومفاتيح تطبيق GitHub OAuth وDropbox وAuth0 ومعلمات تسجيل الدخول لـ Coinbase وTwilio.

ومن بين أنواع التسريبات التي تكتسب شعبية هي الرموز المميزة للوصول إلى الروبوتات في تيليجرام، والتي تضاعف عددها في أوائل عام 2021 ثم تضاعف مرة أخرى في ربيع عام 2023. كما تم تسجيل زيادة مستمرة في التسريبات منذ عام 2020 لمفاتيح الوصول إلى Google API، ومنذ عام 2022 لبيانات الاعتماد لنظام إدارة قواعد البيانات (DBMS). ومن بين الحزم الرائدة في عدد التسريبات، نذكر حزمتي chatllm وsafire، والتي تم فيها نسيان 209 مفتاحًا لـ OpenAI و320 مفتاحًا لـ Google Cloud.

ومن بين أنواع الملفات التي تم تحديد أكبر عدد من التسريبات فيها، بالإضافة إلى الملفات ذات الامتداد ".py"، هناك ملفات ذات الامتداد .json (610 تسريبات)، .md (270)، PKG-INFO (240) )، بيانات التعريف (210)، .txt (170)، بالإضافة إلى ملفات README (209) والملفات من الدلائل المسماة test (675). ترجع العديد من التسريبات أيضًا إلى الأخطاء والأخطاء في ضبط استبعاد الملفات عند إنشاء الحزم. على سبيل المثال، يمكن استبعاد الملفات التي تحتوي على ملفات التكوين المحلية (.cookiecutterrc، .env، .pypirc، وما إلى ذلك) من مستودع Git من خلال ملف ".gitignore"، وهو ما لا يؤخذ في الاعتبار عند إنشاء الحزمة. على وجه الخصوص، تم العثور على 43 ملفًا .pypirc في المستودع الذي يحتوي على بيانات اعتماد للوصول إلى PyPI. في 15 تسريبًا، لم يكن المطورون يعتزمون إصدار الحزم التي تم إنشاؤها في الأصل للاستخدام الداخلي علنًا، ولكنهم نشروها على PyPI عن طريق الخطأ.

بالإضافة إلى ذلك، يمكن ذكر حدثين آخرين متعلقين بـ PyPI:

  • في مستودع PyPI، تم التعرف على 8 حزم ضارة، تم تقديمها كأدوات مساعدة للتعتيم، أي. يؤدي تقليل الكود إلى نموذج غير قابل للقراءة إلى تعقيد عملية استعادة الخوارزمية. وتضمنت الحزم التي تم تحديدها سلسلة "pyobf" في أسمائها (Pyobftoexe وPyobfusfile وPyobfexecute وPyobfpremium وPyobflight وPyobfadvance وPyobfuse وpyobfgood) وتم تنزيلها أكثر من 2000 مرة.

    كانت الشفرة الخبيثة المدمجة في الحزم خاصة بالمنصة Windows وسمح بالاتصال بجهاز تحكم خارجي الخادميُمكن لهذا البرنامج الخبيث تنفيذ أوامر عشوائية على جهاز المطور، والعثور على معلومات حساسة، مثل مفاتيح الوصول، وإرسالها إلى خادم خارجي، ونقل ملفات عشوائية من النظام. علاوة على ذلك، يُمكن للبرنامج الخبيث العمل كمسجل ضغطات المفاتيح، واعتراض كلمات المرور المُدخلة في متصفح كروم، والتقاط لقطات شاشة، وتسجيل الصوت، وحتى التحكم في كاميرا الويب.

  • تم نشر نتائج التدقيق المستقل لقاعدة التعليمات البرمجية للأدوات المستخدمة لتنظيم عمل مستودع pypi.org وإطار عمل Cabotage المستخدم في البنية التحتية لتنسيق الحاوية. تم إجراء التدقيق بدعم من المنظمة غير الربحية OTF (صندوق التكنولوجيا المفتوحة). أثناء التدقيق، لم يتم تحديد أي مشاكل ذات مستوى عالٍ من الخطورة، وتم التعرف على أكواد المصدر على أنها تلبي المتطلبات الأساسية للتشفير الآمن. في الوقت نفسه، تمت ملاحظة عدم كفاية تغطية الاختبار لقاعدة تعليمات الملاحة الساحلية وتم تحديد 29 مشكلة، تم تعيين ثمانية منها بمستوى متوسط ​​من الخطر، و6 - منخفض، وتم وضع علامة على 14 مشكلة كتعليقات إعلامية.

    المشاكل الأكثر وضوحا:

    • سمح التحقق غير الكافي من التوقيعات الرقمية المستخدمة لدمج PyPI مع AWS SNS بإرسال الإشعارات إلى رسائل البريد الإلكتروني للمستخدمين الفرديين.
    • تسرب معلومات في معالج التنزيل يسمح لك بتحديد وجود حساب دون إنشاء أحداث حول محاولات تسجيل الدخول.
    • استخدام تجزئات تشفير غير موثوقة لا تستبعد هجمات تسميم ذاكرة التخزين المؤقت.
    • إذا كان لديك الحق في إطلاق عمليات البناء عبر الملاحة الساحلية، فمن المحتمل أن يتمكن المهاجم من استبدال أوامره.
    • مع حقوق النشر في الملاحة الساحلية، يمكن للمهاجم أن ينشر صورة ذات مظهر شرعي.

المصدر: opennet.ru

شراء استضافة موثوقة للمواقع مع حماية DDoS وخوادم VPS VDS 🔥 اشترِ استضافة مواقع ويب موثوقة مع حماية من هجمات DDoS، وخوادم VPS وVDS | ProHoster