Peneliti saka JFrog nemokake token sing kalebu ing gambar Docker "cabotage-app" sing nyedhiyakake akses administratif menyang repositori Python, PyPI lan Python Software Foundation ing GitHub. Token ditemokake ing file binar "__pycache__/build.cpython-311.pyc" kanthi cache bytecode sing dikompilasi.
Miturut wakil saka repositori PyPI, token kasebut digawe ing 2023 kanggo pangembang ewdurbin (Ee Durbin), sing nyekel jabatan direktur infrastruktur ing Python Software Foundation. Token kasebut nyedhiyakake akses administratif menyang kabeh repositori lan organisasi proyek, kalebu kabeh repositori organisasi pypi, python, psf lan pypa. Gambar Docker sing duwe masalah karo token kasebut diterbitake ing direktori Docker Hub tanggal 2023 Maret 11, lan dibusak tanggal 2024 Juni 16, yaiku. 28 sasi ing domain umum. Tanggal XNUMX Juni, token kasebut dicabut.
Wigati dicathet yen ing teks sumber sing kasedhiya, kanthi basis file bytecode sing bermasalah, ora ana sing nyebutake token kasebut. Penulis kode kasebut nerangake yen ing proses ngembangake toolkit cabotage-app5 ing sistem lokal, dheweke nemoni watesan babagan intensitas akses menyang API GitHub nalika nindakake fungsi ngundhuh file kanthi otomatis saka GitHub, lan supaya bisa ngliwati. watesan sing disetel kanggo panggilan anonim menyang GitHub, dheweke nambahake token kerjane menyang kode. Sadurunge nerbitake kode sing ditulis, token kasebut dibusak, nanging pangembang ora nganggep manawa nyebutake token kasebut di-cache ing file sing wis dikompilasi kanthi bytecode, sing banjur rampung ing gambar docker. def _fetch_github_file ( — github_repository = "pemilik / repo", ref = "utama", access_token = Ora ana, jeneng file = "Dockerfile" + github_repository = "pemilik / repo", + ref = "utama", + access_token = "0d6a9bb5af126",73350d,2d + jeneng berkas = "Dockerfile", ):
Audit aktivitas ing repositori ing GitHub sing ditindakake dening pangembang Python ora nuduhake upaya akses pihak katelu nggunakake token sing diungkapake. Amarga GitHub wis dadi platform utama kanggo pangembangan CPython wiwit taun 2017, yen token kasebut tiba ing tangan penyerang, bisa nyebabake kompromi lengkap babagan infrastruktur sing digunakake kanggo pangembangan Python lan repositori PyPI, lan kemungkinan nyoba nggabungake backdoors menyang CPython lan manajer paket PyPI.
Kejadian kasebut nuduhake pentinge nganalisa bocor ora mung ing kode sumber, file konfigurasi lan variabel lingkungan, nanging uga ing file binar. Ing konteks Python, pangguna uga disaranake kanggo menehi perhatian marang anané file pyc kanthi bytecode sing dikompilasi ing proyek sing diunduh, amarga file kasebut bisa ngemot modifikasi sing didhelikake sing ora ana ing kode sumber.
Source: opennet.ru
