JFrog నుండి పరిశోధకులు GitHubలో పైథాన్, PyPI మరియు పైథాన్ సాఫ్ట్వేర్ ఫౌండేషన్ రిపోజిటరీలకు అడ్మినిస్ట్రేటివ్ యాక్సెస్ను అందించే డాకర్ ఇమేజ్ “కాబోటేజ్-యాప్”లో టోకెన్ను కనుగొన్నారు. టోకెన్ బైనరీ ఫైల్ "__pycache__/build.cpython-311.pyc"లో కంపైల్ చేయబడిన బైట్కోడ్ కాష్తో కనుగొనబడింది.
PyPI రిపోజిటరీ ప్రతినిధుల ప్రకారం, పైథాన్ సాఫ్ట్వేర్ ఫౌండేషన్లో ఇన్ఫ్రాస్ట్రక్చర్ డైరెక్టర్ పదవిని కలిగి ఉన్న డెవలపర్ ewdurbin (Ee Durbin) కోసం టోకెన్ 2023లో సృష్టించబడింది. టోకెన్ pypi, python, psf మరియు pypa సంస్థల యొక్క అన్ని రిపోజిటరీలతో సహా ప్రాజెక్ట్ యొక్క అన్ని రిపోజిటరీలు మరియు సంస్థలకు అడ్మినిస్ట్రేటివ్ యాక్సెస్ను అందించింది. టోకెన్తో సమస్యాత్మకమైన డాకర్ చిత్రం మార్చి 2023, 11న డాకర్ హబ్ డైరెక్టరీలో ప్రచురించబడింది మరియు జూన్ 2024, 16న తొలగించబడింది, అనగా. పబ్లిక్ డొమైన్లో 28 నెలలు. జూన్ XNUMXన టోకెన్ను రద్దు చేశారు.
అందుబాటులో ఉన్న మూల గ్రంథాలలో, సమస్యాత్మక బైట్కోడ్ ఫైల్ రూపొందించబడిన దాని ఆధారంగా, టోకెన్ ప్రస్తావన లేకపోవడం గమనార్హం. కోడ్ రచయిత తన స్థానిక సిస్టమ్లో cabotage-app5 టూల్కిట్ను అభివృద్ధి చేసే ప్రక్రియలో, GitHub నుండి స్వయంచాలక డౌన్లోడ్ ఫైల్ల పనితీరును నిర్వహిస్తున్నప్పుడు మరియు బైపాస్ చేయడానికి GitHub APIకి ప్రాప్యత యొక్క తీవ్రతపై పరిమితులను ఎదుర్కొన్నాడు. GitHubకి అనామక కాల్ల కోసం పరిమితులు సెట్ చేయబడ్డాయి, అతను తాత్కాలికంగా తన వర్కింగ్ టోకెన్ను కోడ్లోకి జోడించాడు. వ్రాసిన కోడ్ను ప్రచురించే ముందు, టోకెన్ తొలగించబడింది, అయితే టోకెన్ ప్రస్తావన బైట్కోడ్తో ప్రీకంపైల్డ్ ఫైల్లో కాష్ చేయబడిందని డెవలపర్ పరిగణనలోకి తీసుకోలేదు, అది డాకర్ ఇమేజ్లో ముగిసింది. def _fetch_github_file( — github_repository=”owner/repo”, ref=”main”, access_token=ఏదీకాదు, ఫైల్ పేరు=”Dockerfile” + github_repository=”owner/repo”, + ref=”main”, + access_token=0 6aaad", + ఫైల్ పేరు=”డాకర్ ఫైల్”, ):
పైథాన్ డెవలపర్లచే నిర్వహించబడిన GitHubలోని రిపోజిటరీలలోని కార్యాచరణ యొక్క ఆడిట్ బహిర్గతం చేయబడిన టోకెన్ని ఉపయోగించి మూడవ-పక్షం యాక్సెస్ ప్రయత్నాలను బహిర్గతం చేయలేదు. GitHub 2017 నుండి CPython అభివృద్ధికి ప్రాథమిక ప్లాట్ఫారమ్గా ఉన్నందున, టోకెన్ దాడి చేసేవారి చేతికి పడితే, అది పైథాన్ అభివృద్ధి మరియు PyPI రిపోజిటరీ కోసం ఉపయోగించే మౌలిక సదుపాయాల యొక్క పూర్తి రాజీకి దారితీయవచ్చు మరియు ప్రయత్నించే అవకాశం ఉంది. బ్యాక్డోర్లను CPython మరియు PyPI ప్యాకేజీ మేనేజర్లలోకి చేర్చండి.
సోర్స్ కోడ్, కాన్ఫిగరేషన్ ఫైల్లు మరియు ఎన్విరాన్మెంట్ వేరియబుల్స్లో మాత్రమే కాకుండా బైనరీ ఫైల్లలో కూడా లీక్లను విశ్లేషించడం యొక్క ప్రాముఖ్యతను ఈ సంఘటన చూపిస్తుంది. పైథాన్ సందర్భంలో, డౌన్లోడ్ చేయబడిన ప్రాజెక్ట్లలో కంపైల్ చేయబడిన బైట్కోడ్తో ఉన్న pyc ఫైల్ల ఉనికిపై కూడా వినియోగదారులు శ్రద్ధ వహించాలని సూచించారు, ఎందుకంటే ఈ ఫైల్లు సోర్స్ కోడ్లో లేని దాచిన మార్పులను కలిగి ఉండవచ్చు.
మూలం: opennet.ru
