GitGuardian-ын судлаачид Python багцын PyPI (Python багцын индекс) хадгалах санд байршуулсан кодын хөгжүүлэгчид мартсан нууц мэдээлэлд хийсэн шинжилгээний үр дүнг нийтэлжээ. 9.5 мянган төсөлтэй холбоотой 5 сая гаруй файл, 450 сая багц хувилбарыг судалсны дараа нууц мэдээлэл алдагдсан 56866 тохиолдол илэрсэн байна. Хэрэв бид өөр өөр хувилбаруудад давхардалгүйгээр зөвхөн өвөрмөц өгөгдлийг харгалзан үзвэл илэрсэн алдагдсаны тоо 3938, дор хаяж нэг алдагдсан төслийн тоо 2922 байна.
Энгийн нууц үг, криптограф түлхүүр, үүлэн үйлчилгээнд нэвтрэх токен, тасралтгүй интеграцийн систем, API зэрэг нийтдээ 150 гаруй төрлийн нууц мэдээлэл алдагдсаныг илрүүлжээ. Судалгааны явцад дор хаяж 768 итгэмжлэл идэвхтэй хэвээр байв. Хамааралтай хэвээр байгаа алдартай задралтын жишээнд Azure Active Directory-д нэвтрэх түлхүүрүүд, SSH, MongoDB, MySQL болон PostgreSQL-д зориулсан итгэмжлэлүүд, GitHub OAuth App, Dropbox болон Auth0-д зориулсан түлхүүрүүд, Coinbase болон Twilio-д нэвтрэх параметрүүд орно.
Олны танил болж байгаа алдагдсан мэдээллийн төрлүүдийн дунд Telegram дахь ботуудад нэвтрэх токенууд байдаг бөгөөд тэдгээрийн тоо 2021 оны эхээр хоёр дахин нэмэгдэж, дараа нь 2023 оны хавар дахин хоёр дахин нэмэгдсэн байна. Мөн 2020 оноос хойш Google API-д нэвтрэх түлхүүр, 2022 оноос хойш DBMS-ийн итгэмжлэлд нэвтрэх мэдээлэл алдагдсан нь тогтмол нэмэгдсээр байна. Нэвчилтийн тоогоор тэргүүлдэг багцуудын дотор OpenAI-ийн 209 түлхүүр, Google Cloud-ийн 320 түлхүүр мартагдсан chatllm болон Safire багцуудыг дурьдсан байна.
Хамгийн их алдагдсан файлуудын төрлүүдийн дунд “.py” өргөтгөлтэй файлуудаас гадна .json (610 задруулсан), .md (270), PKG-INFO (240) өргөтгөлтэй файлууд байдаг. ), METADATA (210), .txt (170), түүнчлэн README файлууд (209) болон test (675) нэртэй сангуудын файлууд. Багц үүсгэх үед файлуудыг оруулахгүй байх тохиргоог хийсэн алдаа, алдаатай холбоотой олон зүйл алдагдсан байдаг. Жишээлбэл, локал тохиргооны файлтай файлуудыг (.cookiecutterrc, .env, .pypirc гэх мэт) ".gitignore" файлаар дамжуулан Git репозитороос хасаж болох бөгөөд үүнийг багц үүсгэх үед харгалздаггүй. Тодруулбал, PyPI-д хандах итгэмжлэл агуулсан репозитороос 43 .pypirc файл олдсон байна. 15 задруулсан мэдээллээр хөгжүүлэгчид анх дотоод хэрэгцээнд зориулан бүтээсэн багцуудыг нийтэд дэлгэх бодолгүй байсан ч PyPI дээр андуурч нийтэлсэн байна.
Нэмж дурдахад PyPI-тэй холбоотой өөр хоёр үйл явдлыг дурдаж болно:
- PyPI репозитор дээр 8 хортой багцыг илрүүлсэн бөгөөд үүнийг далдлах хэрэгсэл болгон танилцуулсан, өөрөөр хэлбэл. кодыг унших боломжгүй хэлбэр болгон бууруулж, алгоритмыг сэргээхэд хүндрэл учруулдаг. Тодорхойлсон багцууд нь нэрэндээ "pyobf" мөрийг агуулсан (Pyobftoexe, Pyobfusfile, Pyobfeexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse болон pyobfgood) бөгөөд 2000 гаруй удаа татагдсан байна.
Багцуудад нэгтгэсэн хортой код нь платформд тохирсон байсан. Windows мөн гадаад удирдлагатай холбогдохыг зөвшөөрсөн сервер, хөгжүүлэгчийн компьютер дээр дурын командуудыг ажиллуулах, хандалтын түлхүүр гэх мэт нууц мэдээллийг олж, гадаад сервер рүү илгээх, системээс дурын файлуудыг дамжуулах боломжтой. Цаашилбал, хортой код нь keylogger болж ажиллах, Chrome дээр оруулсан нууц үгийг таслан авах, дэлгэцийн агшин үүсгэх, аудио бичих, тэр ч байтугай вэбкамерыг хянах боломжтой.
- pypi.org репозиторын ажлыг зохион байгуулахад хэрэглэгдэх хэрэгслүүдийн кодын бааз болон чингэлэг зохион байгуулах дэд бүтцэд ашигласан каботажийн тогтолцооны бие даасан аудитын үр дүн нийтлэгдсэн байна. Шалгалтыг ОТФ (Нээлттэй технологийн сан) ашгийн бус байгууллагын дэмжлэгтэйгээр хийсэн. Шалгалтын явцад аюулын өндөр түвшинд ямар нэгэн асуудал илрээгүй бөгөөд эх кодууд нь аюулгүй кодчиллын үндсэн шаардлагыг хангасан гэж хүлээн зөвшөөрөв. Үүний зэрэгцээ, каботажийн кодын баазын туршилтын хамрах хүрээ хангалтгүй байгааг тэмдэглэж, 29 асуудал илэрсэн бөгөөд үүнээс найм нь дунд зэрэг, 6 нь бага, 14 нь мэдээллийн чанартай тайлбар гэж тэмдэглэгдсэн байна.
Хамгийн их анхаарал татсан асуудлууд:
- PyPI-г AWS SNS-тэй нэгтгэхэд ашигласан тоон гарын үсгийн баталгаажуулалт хангалтгүй байгаа нь хэрэглэгчийн цахим шуудан руу мэдэгдэл илгээхийг зөвшөөрсөн.
- Нэвтрэх оролдлогын талаар үйл явдал үүсгэхгүйгээр акаунт байгаа эсэхийг тодорхойлох боломжийг олгодог татан авалтын зохицуулагчийн мэдээлэл алдагдсан.
- Кэшийг хордуулах халдлагыг үгүйсгэхгүй, найдваргүй криптограф хэш ашиглах.
- Хэрэв та каботажаар дамжуулан бүтээх процессыг эхлүүлэх эрхтэй бол халдагчид тушаалаа орлуулах боломжтой.
- Каботажд байршуулах эрхтэй бол халдагчид хууль ёсны дүр төрхийг байршуулах боломжтой.
Эх сурвалж: opennet.ru
