ProHoster > Blog > nouvèl sou entènèt > Jeton fwit pou aksè konplè nan depo GitHub pwojè Python

Jeton fwit pou aksè konplè nan depo GitHub pwojè Python

Chèchè ki soti nan JFrog dekouvri yon siy ki enkli nan imaj Docker "kabotaj-app" ki bay aksè administratif nan depo Python, PyPI ak Python Software Foundation sou GitHub. Yo te jwenn siy la nan dosye binè "__pycache__/build.cpython-311.pyc" ak bytecode konpile nan kach.

Jeton fwit pou aksè konplè nan depo GitHub pwojè Python

Dapre reprezantan ki nan depo PyPI a, siy la te kreye an 2023 pou pwomotè ewdurbin (Ee Durbin), ki gen pòs direktè enfrastrikti nan Python Software Foundation. Jeton an te bay aksè administratif nan tout depo ak òganizasyon pwojè a, ki gen ladan tout depo òganizasyon pypi, python, psf ak pypa. Yo te pibliye imaj Docker ki gen pwoblèm ak siy la nan anyè Docker Hub nan dat 2023 mas 11, epi li te efase 2024 jen 16, i.e. 28 mwa nan domèn piblik la. Sou XNUMX jen, siy la te revoke.

Se enpòtan pou remake ke nan tèks sous ki disponib yo, sou baz yo te pwodwi bytecode pwoblèm nan, pa gen okenn mansyone nan siy la. Otè kòd la te eksplike ke nan pwosesis pou devlope kabotaj-app5 zouti nan sistèm lokal li a, li te rankontre restriksyon sou entansite aksè a GitHub API lè li te fè fonksyon otomatik telechaje fichye soti nan GitHub, ak nan lòd yo kontoune. limit yo fikse pou apèl anonim nan GitHub, li te ajoute tanporèman siy travay li nan kòd. Anvan pibliye kòd la ekri, yo te efase siy la, men pwomotè a pa t 'pran an kont ke mansyone nan siy la te kachèt nan yon dosye prekonpile ak bytecode, ki Lè sa a, te fini nan imaj la docker. def _fetch_github_file( — github_repository=”owner/repo”, ref=”principal”, access_token=Okenn, filename=”Dockerfile” + github_repository=”owner/repo”, + ref=”principal”, + access_token=”0d6a9bb5af126f73350a2a058492765446bXNUMXafXNUMXfXNUMXaXNUMXafXNUMX + filename="Dockerfile", ):

Yon odit sou aktivite nan depo sou GitHub ki fèt pa devlopè Python pa t revele tantativ aksè twazyèm pati lè l sèvi avèk siy ki divilge a. Etandone ke GitHub se te platfòm prensipal pou devlopman CPython depi 2017, si siy la te tonbe nan men yon atakè, li ta ka mennen nan yon konpwomi konplè sou enfrastrikti yo itilize pou devlopman Python ak depo PyPI a, ak posiblite pou eseye fè. entegre backdoors nan CPython ak manadjè pake PyPI.

Ensidan an montre enpòtans ki genyen nan analize fwit pa sèlman nan kòd sous, dosye konfigirasyon ak varyab anviwònman, men tou, nan dosye binè. Nan kontèks Python, itilizatè yo konseye tou pou yo peye atansyon sou prezans dosye pyc ak bytecode konpile nan pwojè telechaje yo, paske dosye sa yo ka genyen modifikasyon kache ki pa prezan nan kòd sous la.

Sous: opennet.ru

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster