JFrog-ի հետազոտողները հայտնաբերել են «cabotage-app» Docker պատկերի մեջ ներառված նշան, որն ապահովում է ադմինիստրատիվ մուտք դեպի Python, PyPI և Python Software Foundation-ի պահոցներ GitHub-ում: Նշանը գտնվել է «__pycache__/build.cpython-311.pyc» երկուական ֆայլում՝ կազմված բայթկոդը քեշավորված վիճակում:
Ըստ PyPI պահեստի ներկայացուցիչների, նշանը ստեղծվել է 2023 թվականին մշակողի ewdurbin (Ee Durbin) համար, ով զբաղեցնում է Python Software Foundation-ի ենթակառուցվածքի տնօրենի պաշտոնը: Նշանն ապահովում էր ադմինիստրատիվ մուտք դեպի ծրագրի բոլոր պահեստները և կազմակերպությունները, ներառյալ pypi, python, psf և pypa կազմակերպությունների բոլոր պահեստները: Token-ով խնդրահարույց Docker պատկերը հրապարակվել է Docker Hub գրացուցակում 2023 թվականի մարտի 11-ին և ջնջվել 2024 թվականի հունիսի 16-ին, այսինքն. 28 ամիս հանրային սեփականությունում: Հունիսի XNUMX-ին նշանը չեղյալ է հայտարարվել:
Հատկանշական է, որ առկա սկզբնաղբյուրային տեքստերում, որոնց հիման վրա ստեղծվել է խնդրահարույց բայթկոդի ֆայլը, նշանի մասին խոսք չկա։ Կոդի հեղինակը բացատրել է, որ իր տեղական համակարգում cabotage-app5 գործիքակազմի մշակման գործընթացում նա հանդիպել է GitHub API մուտքի ինտենսիվության սահմանափակումների՝ GitHub-ից ֆայլերի ավտոմատ ներբեռնման ֆունկցիան կատարելիս և շրջանցելու համար: GitHub-ին անանուն զանգերի համար սահմանված սահմանները, նա ժամանակավորապես ավելացրեց իր աշխատանքային նշանը կոդի մեջ: Նախքան գրված կոդը հրապարակելը, թոքենը ջնջվել է, սակայն մշակողը հաշվի չի առել, որ նշանի նշումը պահվել է բայթկոդով նախապես կոմպիլացված ֆայլում, որը հետո հայտնվել է դոկերի պատկերում։ Def _fetch_github_file (- Github_repository = "սեփականատեր / Repo", Ref = "Main", Access_token = "Dockerfile" + GITHES_TOVE = " + ֆայլի անուն = «Dockerfile», ):
Python ծրագրավորողների կողմից GitHub-ի պահոցների գործունեության աուդիտը չի հայտնաբերել երրորդ կողմի մուտքի փորձեր՝ օգտագործելով բացահայտված նշանը: Հաշվի առնելով, որ GitHub-ը CPython-ի մշակման առաջնային հարթակն է 2017 թվականից, եթե նշանն ընկնի հարձակվողի ձեռքը, դա կարող է հանգեցնել Python-ի մշակման և PyPI պահեստի համար օգտագործվող ենթակառուցվածքի ամբողջական փոխզիջման, ինչպես նաև փորձելու հնարավորությանը: ինտեգրել հետին դռները CPython-ի և PyPI փաթեթների կառավարչի մեջ:
Միջադեպը ցույց է տալիս արտահոսքի վերլուծության կարևորությունը ոչ միայն սկզբնական կոդի, կազմաձևման ֆայլերի և շրջակա միջավայրի փոփոխականների, այլև երկուական ֆայլերի մեջ: Python-ի համատեքստում օգտատերերին խորհուրդ է տրվում նաև ուշադրություն դարձնել ներբեռնված նախագծերում կազմված բայթկոդով pyc ֆայլերի առկայությանը, քանի որ այդ ֆայլերը կարող են պարունակել թաքնված փոփոխություններ, որոնք չկան սկզբնաղբյուրում:
Source: opennet.ru
