U repository PyPI hà revelatu circa 5000 8 secreti lasciati in u codice è XNUMX offuscatori maliziusi.

I ricercatori di GitGuardian anu publicatu i risultati di una analisi di dati sensittivi scurdati da i sviluppatori in codice allughjatu in u PyPI (Python Package Index) repository di pacchetti Python. Dopu avè studiatu più di 9.5 milioni di fugliali è 5 milioni di versioni di pacchetti assuciati à 450 mila prughjetti, 56866 casi di fuga di dati cunfidenziale sò stati identificati. Se tenemu in contu solu dati unichi, senza duplicazione in diverse versioni, u numeru di fughe identificate era 3938, è u numeru di prughjetti cù almenu una fuga era 2922.

In totale, sò stati identificati più di 150 tipi di fughe di informazioni cunfidenziale, cumprese password ordinarie, chjavi criptografichi, tokens d'accessu per i servizii di nuvola, sistemi di integrazione cuntinua è API. Almenu 768 credenziali sò stati attivi à u mumentu di u studiu. Esempii di filtrazioni populari chì restanu pertinenti includenu chjavi d'accessu per Azure Active Directory, credenziali per SSH, MongoDB, MySQL è PostgreSQL, chjavi per GitHub OAuth App, Dropbox è Auth0, parametri di login per Coinbase è Twilio.

Trà i tipi di fughe chì guadagnanu pupularità sò i tokens per l'accessu à i bots in Telegram, u numeru di quale hà radduppiatu à principiu di 2021 è dopu duppiatu di novu in a primavera di u 2023. Un aumentu constantu di fughe hè statu ancu registratu da u 2020 per e chjave d'accessu à l'API di Google, è da u 2022 per e credenziali à u DBMS. Trà i pacchetti chì guidanu in u numeru di fughe, i pacchetti chatllm è safire sò citati, in quale 209 chjave per OpenAI è 320 chjave per Google Cloud sò stati scurdati.

Trà i tippi di schedari in quale u più grande numaru di fughe sò stati identificati, in più di i schedari cù l'estensione ".py", ci sò schedari cù l'estensione .json (610 leaks), .md (270), PKG-INFO (240). ), METADATA (210), .txt (170), è ancu i fugliali README (209) è i fugliali da i cartulari chjamati test (675). Parechje fughe sò ancu dovute à sguardi è errori in stabilisce l'esclusione di i fugliali quandu generanu pacchetti. Per esempiu, i schedarii cù i schedarii di cunfigurazione lucali (.cookiecutterrc, .env, .pypirc, etc.) ponu esse escluditi da u repository Git attraversu un schedariu ".gitignore", chì ùn hè micca cunsideratu quandu crea u pacchettu. In particulare, i schedarii 43 .pypirc sò stati truvati in u repositoriu chì cuntene credenziali per accede à PyPI. In 15 leaks, i sviluppatori ùn anu micca intenzione di liberà publicamente i pacchetti creati originariamente per l'usu internu, ma i publicavanu in PyPI per errore.

Inoltre, dui avvenimenti più ligati à PyPI ponu esse citati:

  • In u repository PyPI, 8 pacchetti maliziusi sò stati identificati, presentati cum'è utilità per l'obfuscazione, i.e. riducendu u codice à una forma illegibile, complicà a risturazione di l'algoritmu. I pacchetti identificati cuntenenu a stringa "pyobf" in i so nomi (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse è pyobfgood) è sò stati scaricati più di 2000 volte.

    U codice maliziosu integratu in i pacchetti era specificu per a piattaforma Windows è hà permessu a cunnessione à un cuntrollu esternu servitore, eseguisce cumandamenti arbitrarii nantu à l'urdinatore di u sviluppatore, truvà è mandà informazioni sensibili, cum'è e chjave d'accessu, à un servitore esternu, è trasferisce fugliali arbitrarii da u sistema. Inoltre, u codice maliziosu puderia agisce cum'è un keylogger, intercettà e password inserite in Chrome, creà screenshots, registrà l'audio, è ancu cuntrullà a webcam.

  • I risultati di un auditu indipendente di a basa di codice di l'arnesi utilizati per urganizà u travagliu di u repository pypi.org è u marcu di cabotage utilizatu in l'infrastruttura di l'orchestrazione di u containeru sò stati publicati. L'auditu hè statu realizatu cù u sustegnu di l'organizazione senza prufittu OTF (Open Technology Fund). Duranti l'auditu, ùn sò micca stati identificati prublemi cù un altu livellu di periculu, è i codici fonte sò stati ricunnisciuti cum'è rispondenu à i requisiti basi per a codificazione sicura. À u listessu tempu, una copertura di prova insufficiente di a basa di codice di cabotage hè stata nutata è 29 prublemi sò stati identificati, di quale ottu sò stati assignati un livellu moderatu di periculu, 6 - bassu, è 14 sò stati marcati cum'è cumenti informativi.

    I prublemi più evidenti:

    • A verificazione insufficiente di e firme digitali utilizzate per integrà PyPI cù AWS SNS hà permessu di mandà notificazioni à e-mail di l'utilizatori individuali.
    • Una fuga di informazioni in u gestore di scaricamentu chì vi permette di determinà l'esistenza di un contu senza generà avvenimenti nantu à i tentativi di login.
    • L'usu di hashes criptografici inaffidabili chì ùn escludenu micca l'attacchi di avvelenamentu di cache.
    • Se avete u dirittu di lancià prucessi di custruzzione via cabotage, l'attaccante puderia riesce a sostituzione di i so cumandamenti.
    • Cù i diritti di implementazione in cabotage, un attaccu puderia potenzialmente implementà una maghjina legittima.

Source: opennet.ru

Cumprate un hosting affidabile per i siti cù prutezzione DDoS, servitori VPS VDS 🔥 Cumprate un hosting di siti web affidabile cù prutezzione DDoS, servitori VPS VDS | ProHoster