A PyPI adattár mintegy 5000 kódban maradt titkot és 8 rosszindulatú obfuszkátort fed fel.

A GitGuardian kutatói közzétették a Python-csomagok PyPI (Python Package Index) tárházában tárolt kódban a fejlesztők által elfelejtett érzékeny adatok elemzésének eredményeit. A 9.5 ezer projekthez kapcsolódó több mint 5 millió fájl és 450 millió csomagkiadás tanulmányozása után 56866 3938 bizalmas adatszivárgás esetét azonosították. Ha csak egyedi adatokat vesszük figyelembe, a különböző kiadásokban való megkettőzés nélkül, akkor az azonosított szivárgások száma 2922, a legalább egy szivárogással rendelkező projektek száma pedig XNUMX volt.

Összesen több mint 150 típusú bizalmas információ-szivárgást azonosítottak, beleértve a közönséges jelszavakat, kriptográfiai kulcsokat, a felhőszolgáltatások hozzáférési tokenjeit, a folyamatos integrációs rendszereket és az API-kat. A vizsgálat idején legalább 768 hitelesítő adat maradt aktív. A népszerű, továbbra is releváns kiszivárgásokra példaként említhetők a hozzáférési kulcsok az Azure Active Directoryhoz, az SSH, a MongoDB, a MySQL és a PostgreSQL hitelesítő adatai, a GitHub OAuth App, a Dropbox és az Auth0 kulcsai, valamint a Coinbase és a Twilio bejelentkezési paraméterei.

A kiszivárogtatások egyre népszerűbb típusai közé tartoznak a Telegram botjaihoz való hozzáférést biztosító tokenek, amelyek száma 2021 elején megduplázódott, majd 2023 tavaszán ismét megduplázódott. 2020 óta folyamatosan nőtt a szivárgások száma a Google API-hoz való hozzáférési kulcsok, 2022 óta pedig a DBMS-hez szükséges hitelesítő adatok tekintetében. A kiszivárogtatások számában vezető csomagok közül a chatllm és a safire csomagokat említik, amelyekben 209 OpenAI és 320 Google Cloud kulcsot felejtettek el.

Azon fájltípusok között, amelyekben a legtöbb szivárgást azonosították, a „.py” kiterjesztésű fájlok mellett vannak .json (610 szivárgás), .md (270), PKG-INFO (240) kiterjesztésű fájlok ), METAADATOK (210), .txt (170), valamint README fájlok (209) és fájlok a teszt nevű könyvtárakból (675). Sok szivárgás oka a fájlok kizárásának beállításakor a csomagok generálásakor történt figyelmen kívül hagyások és hibák is. Például a helyi konfigurációs fájlokkal (.cookiecutterrc, .env, .pypirc stb.) rendelkező fájlok egy ".gitignore" fájlon keresztül kizárhatók a Git-tárból, amit a csomag létrehozásakor nem veszünk figyelembe. Konkrétan 43 .pypirc fájl található a lerakatban, amelyek a PyPI eléréséhez szükséges hitelesítési adatokat tartalmazzák. A fejlesztők 15 kiszivárogtatásnál nem szándékoztak nyilvánosan kiadni az eredetileg belső használatra készült csomagokat, hanem tévedésből PyPI-n tették közzé azokat.

Ezen kívül még két PyPI-vel kapcsolatos esemény említhető:

  • A PyPI repository-ban 8 rosszindulatú csomagot azonosítottunk, melyeket elhomályosítás céljából segédprogramként mutattak be, azaz. a kód olvashatatlan formára való redukálása, ami megnehezíti az algoritmus visszaállítását. Az azonosított csomagok nevükben a "pyobf" karakterláncot tartalmazták (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse és pyobfgood), és több mint 2000 alkalommal töltötték le.

    A csomagokba integrált rosszindulatú kód platformspecifikus volt Windows és lehetővé tette a külső vezérlőhöz való csatlakozást szerver, tetszőleges parancsokat futtathat a fejlesztő számítógépén, bizalmas információkat, például hozzáférési kulcsokat kereshet és küldhet külső szerverre, valamint tetszőleges fájlokat vihet át a rendszerből. Továbbá a rosszindulatú kód billentyűleütés-figyelőként működhet, elfoghatja a Chrome-ba megadott jelszavakat, képernyőképeket készíthet, hangot rögzíthet, sőt akár a webkamerát is vezérelheti.

  • Megjelent a pypi.org repository munkáját szervező eszközök és a konténer-hangszerelési infrastruktúrában használt kabotázs keretrendszer kódbázisának független auditjának eredménye. Az ellenőrzés az OTF (Nyílt Technológiai Alap) nonprofit szervezet támogatásával valósult meg. Az audit során nem tártak fel magas szintű veszélyt jelentő problémákat, a forráskódokat a biztonságos kódolás alapvető követelményeinek megfelelőnek minősítették. Ugyanakkor a kabotázs kódbázis tesztelési lefedettsége nem kielégítő, és 29 problémát azonosítottak, amelyek közül nyolc mérsékelt, 6 alacsony, 14 pedig tájékoztató jellegű megjegyzést kapott.

    A legszembetűnőbb problémák:

    • A PyPI és az AWS SNS integrálásához használt digitális aláírások nem megfelelő ellenőrzése lehetővé tette az értesítések küldését az egyes felhasználók e-mailjeire.
    • Információszivárgás a letöltéskezelőben, amely lehetővé teszi egy fiók létezésének meghatározását anélkül, hogy eseményeket generálna a bejelentkezési kísérletekkel kapcsolatban.
    • Megbízhatatlan kriptográfiai kivonatok használata, amelyek nem zárják ki a gyorsítótár-mérgezési támadásokat.
    • Ha Önnek joga van kabotázson keresztül elindítani az építési folyamatokat, akkor a támadó elérheti a parancsok helyettesítését.
    • A kabotázsban történő telepítési jogokkal a támadó potenciálisan jogosnak tűnő képet telepíthet.

Forrás: opennet.ru

Vásároljon megbízható tárhelyet DDoS védelemmel, VPS VDS szerverekkel rendelkező webhelyekhez 🔥 Vásároljon megbízható weboldal tárhelyet DDoS védelemmel, VPS VDS szerverekkel | ProHoster