Forskare från JFrog upptäckte en token inkluderad i Docker-bilden "cabotage-app" som ger administrativ åtkomst till Python-, PyPI- och Python Software Foundation-arkiven på GitHub. Token hittades i den binära filen "__pycache__/build.cpython-311.pyc" med den kompilerade bytekoden cachad.
Enligt representanter för PyPI-förvaret skapades token 2023 för utvecklaren ewdurbin (Ee Durbin), som innehar posten som infrastrukturdirektör vid Python Software Foundation. Tokenet gav administrativ åtkomst till alla arkiv och organisationer i projektet, inklusive alla arkiv för organisationerna pypi, python, psf och pypa. Den problematiska Docker-bilden med token publicerades i Docker Hub-katalogen den 2023 mars 11 och raderades den 2024 juni 16, det vill säga 28 månader i det offentliga området. Den XNUMX juni återkallades poletten.
Det är anmärkningsvärt att i de tillgängliga källtexterna, på grundval av vilka den problematiska bytekodfilen genererades, finns det inget omnämnande av token. Kodens författare förklarade att han i processen med att utveckla verktygssatsen cabotage-app5 på sitt lokala system stötte på restriktioner för intensiteten av åtkomst till GitHub API när han utförde funktionen för automatisk nedladdning av filer från GitHub, och för att kringgå gränserna för anonyma samtal till GitHub lade han tillfälligt till sin arbetstoken till koden. Innan den skrivna koden publicerades raderades token men utvecklaren tog inte hänsyn till att omnämnandet av token cachades i en förkompilerad fil med bytekod, som sedan hamnade i docker-bilden. def _fetch_github_file( — github_repository=”ägare/repo”, ref=”main”, access_token=Ingen, filnamn=”Dockerfile” + github_repository=”ägare/repo”, + ref=”main”, + access_token="0d6a9bb5af126f73350a2afc058492765446aaad", + filnamn="Dockerfile", ):
En granskning av aktivitet i repositories på GitHub utförd av Python-utvecklare avslöjade inte tredjepartsåtkomstförsök med den avslöjade token. Med tanke på att GitHub har varit den primära plattformen för CPython-utveckling sedan 2017, om token föll i händerna på en angripare, kan det leda till en fullständig kompromiss av infrastrukturen som används för Python-utveckling och PyPI-förvaret, och möjligheten att försöka integrera bakdörrar i CPython och PyPI-pakethanteraren.
Incidenten visar vikten av att analysera läckor inte bara i källkod, konfigurationsfiler och miljövariabler, utan även i binära filer. I Python-sammanhang rekommenderas användare också att vara uppmärksamma på förekomsten av pyc-filer med kompilerad bytekod i de nedladdade projekten, eftersom dessa filer kan innehålla dolda ändringar som inte finns i källkoden.
Källa: opennet.ru
