PyPI-ի պահոցը բացահայտել է կոդի մեջ մնացած մոտ 5000 գաղտնիք և 8 վնասակար խաբեբաներ

GitGuardian-ի հետազոտողները հրապարակել են ծրագրավորողների կողմից մոռացված զգայուն տվյալների վերլուծության արդյունքները, որոնք տեղակայված են PyPI (Python Package Index) Python փաթեթների պահոցում: Ուսումնասիրելով ավելի քան 9.5 միլիոն ֆայլ և 5 միլիոն փաթեթի թողարկում՝ կապված 450 հազար նախագծերի հետ, հայտնաբերվել է գաղտնի տվյալների արտահոսքի 56866 դեպք: Եթե ​​հաշվի առնենք միայն եզակի տվյալները՝ առանց տարբեր թողարկումներում կրկնվելու, ապա հայտնաբերված արտահոսքերի թիվը կազմել է 3938, իսկ առնվազն մեկ արտահոսքով նախագծերի թիվը՝ 2922։

Ընդհանուր առմամբ, հայտնաբերվել է գաղտնի տեղեկատվության ավելի քան 150 տեսակի արտահոսք, ներառյալ սովորական գաղտնաբառերը, գաղտնագրման բանալիները, ամպային ծառայությունների մուտքի նշանները, շարունակական ինտեգրման համակարգերը և API-ները: Առնվազն 768 հավատարմագրերը մնացին ակտիվ ուսումնասիրության պահին: Հանրաճանաչ արտահոսքի օրինակները, որոնք մնում են համապատասխան, ներառում են մուտքի բանալիներ Azure Active Directory-ի համար, SSH-ի, MongoDB-ի, MySQL-ի և PostgreSQL-ի հավատարմագրերը, GitHub OAuth հավելվածի, Dropbox-ի և Auth0-ի բանալիները, մուտքի պարամետրերը Coinbase-ի և Twilio-ի համար:

Արտահոսքի տեսակների շարքում, որոնք մեծ ճանաչում են ձեռք բերում, կան Telegram-ում բոտերի հասանելիության նշանները, որոնց թիվը կրկնապատկվել է 2021 թվականի սկզբին, իսկ հետո կրկին կրկնապատկվել 2023 թվականի գարնանը: Արտահոսքի մշտական ​​աճ է գրանցվել նաև 2020 թվականից ի վեր Google API-ի մուտքի բանալիների համար, իսկ 2022 թվականից՝ DBMS-ի հավատարմագրերի համար: Արտահոսքի քանակով առաջատար փաթեթների թվում նշվում են chatllm և safire փաթեթները, որոնցում մոռացվել է OpenAI-ի 209 և Google Cloud-ի 320 բանալին։

Ֆայլերի տեսակներից, որոնցում հայտնաբերվել են արտահոսքի ամենամեծ քանակությունը, բացի «.py» ընդլայնմամբ ֆայլերից, կան նաև .json (610 արտահոսք), .md (270), PKG-INFO (240) ընդլայնումով ֆայլեր: ), METADATA (210), txt (170), ինչպես նաև README ֆայլեր (209) և ֆայլեր դիրեկտորիաներից՝ test (675): Բազմաթիվ արտահոսքեր պայմանավորված են նաև փաթեթներ ստեղծելիս ֆայլերի բացառման սահմանման թերացումներով և սխալներով: Օրինակ, տեղական կազմաձևման ֆայլերով (.cookiecutterrc, .env, .pypirc և այլն) ֆայլերը կարող են բացառվել Git պահոցից «.gitignore» ֆայլի միջոցով, որը հաշվի չի առնվում փաթեթը ստեղծելիս։ Մասնավորապես, PyPI մուտք գործելու հավատարմագրեր պարունակող 43 .pypirc ֆայլեր են հայտնաբերվել: 15 արտահոսքի ժամանակ մշակողները մտադիր չէին հրապարակայնորեն թողարկել ի սկզբանե ներքին օգտագործման համար ստեղծված փաթեթները, այլ սխալմամբ դրանք հրապարակել են PyPI-ում:

Բացի այդ, PyPI-ի հետ կապված ևս երկու իրադարձություն կարելի է նշել.

  • PyPI-ի պահոցում հայտնաբերվել են 8 վնասակար փաթեթներ, որոնք ներկայացված են որպես մշուշման կոմունալ ծառայություններ, այսինքն. կոդը նվազեցնելով անընթեռնելի ձևի, բարդացնելով ալգորիթմի վերականգնումը: Նույնականացված փաթեթները պարունակում էին «pyobf» տողը իրենց անուններում (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse և pyobfgood) և ներբեռնվել են ավելի քան 2000 անգամ:

    Փաթեթներում ինտեգրված վնասակար կոդը հատուկ էր հարթակին Windows և թույլատրեց միանալ արտաքին կառավարման սարքին սերվեր, կատարել կամայական հրամաններ մշակողի համակարգչում, գտնել և ուղարկել զգայուն տեղեկություններ, ինչպիսիք են մուտքի բանալիները, արտաքին սերվերի վրա, և փոխանցել կամայական ֆայլեր համակարգից: Ավելին, վնասակար կոդը կարող է գործել որպես ստեղնաշարի գրանցող, որսալ Chrome-ում մուտքագրված գաղտնաբառերը, ստեղծել էկրանի նկարներ, ձայնագրել աուդիո և նույնիսկ կառավարել վեբ տեսախցիկը:

  • Հրապարակվել են pypi.org շտեմարանի աշխատանքը կազմակերպելու համար օգտագործվող գործիքների կոդի բազայի անկախ աուդիտի և կոնտեյներների նվագախմբավորման ենթակառուցվածքում օգտագործվող կաբոտաժային շրջանակի արդյունքները: Աուդիտն իրականացվել է OTF (Open Technology Fund) ոչ առևտրային կազմակերպության աջակցությամբ: Աուդիտի ընթացքում վտանգի բարձր մակարդակի հետ կապված խնդիրներ չեն հայտնաբերվել, և սկզբնական ծածկագրերը ճանաչվել են որպես անվտանգ կոդավորման հիմնական պահանջներին համապատասխանող: Միաժամանակ նշվել է կաբոտաժային ծածկագրերի բազայի փորձարկման անբավարար ծածկույթ և բացահայտվել է 29 խնդիր, որից ութին նշանակվել է միջին վտանգի աստիճան, 6-ը՝ ցածր, իսկ 14-ը՝ որպես տեղեկատվական մեկնաբանություն։

    Առավել նկատելի խնդիրները.

    • PyPI-ն AWS SNS-ի հետ ինտեգրելու համար օգտագործվող թվային ստորագրությունների անբավարար ստուգումը թույլ է տվել ծանուցումներ ուղարկել առանձին օգտատերերի էլ.
    • Ներբեռնման մշակիչում տեղեկատվության արտահոսք, որը թույլ է տալիս որոշել հաշվի առկայությունը՝ առանց մուտքի փորձերի վերաբերյալ իրադարձություններ առաջացնելու:
    • Անվստահելի ծածկագրային հեշերի օգտագործումը, որոնք չեն բացառում քեշի թունավորման հարձակումները:
    • Եթե ​​դուք իրավունք ունեք սկսելու շինարարական գործընթացները կաբոտաժի միջոցով, հարձակվողը կարող է հասնել իր հրամանների փոխարինմանը:
    • Կաբոտաժում տեղակայման իրավունքով հարձակվողը կարող է պոտենցիալ օրինական տեսք ստեղծել:

Source: opennet.ru

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster