Bafuputsi ba GitGuardian ba phatlalalitse liphetho tsa tlhahlobo ea data e hlokolosi e lebetsoeng ke bahlahisi ka khoutu e tšoaretsoeng polokelong ea PyPI (Python Package Index) ea liphutheloana tsa Python. Kamora ho ithuta lifaele tse fetang limilione tse 9.5 le likhatiso tsa liphutheloana tse limilione tse 5 tse amanang le merero e likete tse 450, linyeoe tse 56866 tsa ho lutla ha lekunutu li ile tsa bonoa. Haeba re ela hloko lintlha tse ikhethang feela, ntle le ho pheta-pheta liphatlalatsong tse fapaneng, palo ea ho lutla ho khethiloeng e ne e le 3938, 'me palo ea merero e nang le bonyane ho lutla e le' ngoe e ne e le 2922.
Ka kakaretso, ho na le mefuta e fetang 150 ea ho tsoa ha boitsebiso ba lekunutu, ho kenyelletsa le li-passwords tse tloaelehileng, linotlolo tsa cryptographic, li-tokens tsa ho fumana litšebeletso tsa maru, mekhoa e tsoelang pele ea ho kopanya le li-API. Bonyane lintlha tsa 768 li ile tsa lula li le mafolofolo nakong ea thuto. Mehlala ea ho lutla ho tsebahalang e ntseng e sebetsa e kenyelletsa linotlolo tsa phihlello bakeng sa Azure Active Directory, lintlha tsa SSH, MongoDB, MySQL le PostgreSQL, linotlolo tsa GitHub OAuth App, Dropbox le Auth0, liparamente tsa ho kena bakeng sa Coinbase le Twilio.
Har'a mefuta ea ho lutla e ntseng e tsebahala ke li-tokens tsa phihlello ea bots ho Telegraph, eo palo ea eona e ileng ea imena habeli mathoasong a 2021 mme ea imena habeli nakong ea selemo ea 2023. Keketseho e sa khaotseng ea ho lutla le eona e tlalehiloe ho tloha ka 2020 bakeng sa linotlolo tsa phihlello ho Google API, le ho tloha 2022 bakeng sa mangolo a netefatso ho DBMS. Har'a liphutheloana tse lebisang palo ea ho lutla, liphutheloana tsa chatllm le safire li boleloa, moo linotlolo tsa 209 tsa OpenAI le linotlolo tsa 320 tsa Google Cloud li lebetsoeng.
Har'a mefuta ea lifaele moo palo e kholo ka ho fetisisa ea ho lutla e ileng ea khetholloa, ho phaella lifaeleng tse nang le ".py" extension, ho na le lifaele tse nang le extension .json (610 leaks), .md (270), PKG-INFO (240). ), METADATA (210), .txt (170), hammoho le lifaele tsa README (209) le lifaele tse tsoang ho li-directory tse bitsoang test (675). Ho lutla ho hongata ho boetse ho bakoa ke ho okamela le liphoso tsa ho beha ho qheleloa ka thoko ha lifaele ha ho etsoa liphutheloana. Ka mohlala, lifaele tse nang le lifaele tsa tlhophiso ea sebakeng seo (.cookiecutterrc, .env, .pypirc, joalo-joalo) li ka qheleloa ka thōko ho polokelo ea Git ka ".gitignore" faele, e sa tsotelloe ha ho etsoa sephutheloana. Ka ho khetheha, lifaele tsa 43 .pypirc li ile tsa fumanoa sebakeng sa polokelo se nang le lintlha tsa ho fumana PyPI. Lits'ebetsong tse 15, bahlahisi ba ne ba sa rera ho lokolla liphutheloana tse neng li etselitsoe ts'ebeliso ea kahare, empa ba li phatlalalitse ho PyPI ka phoso.
Ho feta moo, ho ka boleloa liketsahalo tse ling tse peli tse amanang le PyPI:
- Sebakeng sa polokelo ea PyPI, liphutheloana tse mpe tsa 8 li ile tsa khetholloa, tse hlahisoang e le lisebelisoa bakeng sa ho ferekanya, ke hore. ho fokotsa khoutu ho foromo e sa baleheng, ho thatafatsa ho tsosolosoa ha algorithm. Liphutheloana tse khethiloeng li ne li e-na le khoele ea "pyobf" ka mabitso a tsona (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse le pyobfgood) 'me li kopitsoe makhetlo a fetang 2000.
Khoutu e kotsi e kenyellelitsoeng liphuthelong e ne e ipapisitse le sethala Windows mme e lumelletse khokahano ho taolo ya kantle seva, tsamaisa litaelo tse sa reroang khomphuteng ea moqapi, fumana le ho romela tlhahisoleseling e hlokolosi, joalo ka linotlolo tsa phihlello, ho seva sa kantle, 'me u fetisetse lifaele tse sa reroang ho tsoa tsamaisong. Ho feta moo, khoutu e kotsi e ka sebetsa e le keylogger, ea thibela li-password tse kenngoeng ho Chrome, ea etsa li-screenshots, ea rekota molumo, esita le ho laola webcam.
- Liphetho tsa tlhahlobo e ikemetseng ea motheo oa khoutu ea lisebelisoa tse sebelisitsoeng ho hlophisa mosebetsi oa polokelo ea pypi.org le moralo oa cabotage o sebelisitsoeng metheong ea li-container li phatlalalitsoe. Tlhahlobo ena e entsoe ka tšehetso ea mokhatlo o sa etseng phaello oa OTF (Open Technology Fund). Nakong ea tlhahlobo, ha ho mathata a kotsi a phahameng a ileng a tsejoa, 'me li-code tsa mohloli li ile tsa hlokomeloa e le tse finyellang litlhoko tsa motheo tsa ho boloka khoutu e bolokehileng. Ka nako e ts'oanang, ts'ebetso e sa lekaneng ea tlhahlobo ea cabotage codebase e ile ea hlokomeloa 'me mathata a 29 a tsejoa, ao a robeli a ileng a abeloa boemo bo itekanetseng ba kotsi, 6 - tlaase, le 14 e ne e tšoauoa e le litlhaloso tse rutang.
Mathata a tsebahalang haholo:
- Netefatso e sa lekaneng ea mesaeno ea dijithale e sebelisoang ho kopanya PyPI le AWS SNS e lumelletse litemoso ho romelloa ho li-imeile tsa basebelisi ka bomong.
- Tlhahisoleseding e lutlang ho sesebelisoa sa download e u lumellang ho tseba hore na ak'haonte e teng ntle le ho hlahisa liketsahalo mabapi le liteko tsa ho kena.
- Tšebeliso ea li-hashes tse sa tšepahaleng tse sa kenyelletseng litlhaselo tsa chefo ea cache.
- Haeba u na le tokelo ea ho qala lits'ebetso tsa ho aha ka cabotage, mohlaseli a ka khona ho fumana sebaka sa litaelo tsa hae.
- Ka litokelo tsa phepelo ka cabotage, mohlaseli a ka sebelisa setšoantšo se shebahalang se nepahetse.
Source: opennet.ru
