Анбори PyPI тақрибан 5000 асрори дар код боқӣ мондаро ва 8 обфускатори зарароварро ошкор кард

Муҳаққиқони GitGuardian натиҷаҳои таҳлили маълумоти ҳассосро, ки таҳиягарон дар коди дар анбори бастаҳои Python дар PyPI (Python Package Index) ҷойгиршуда фаромӯш кардаанд, нашр карданд. Пас аз омӯзиши беш аз 9.5 миллион файл ва 5 миллион релизҳои бастаи марбут ба 450 ҳазор лоиҳа, 56866 ҳолати ихроҷи маълумоти махфӣ муайян карда шуд. Агар мо танҳо маълумоти беназирро ба назар гирем, бидуни такрор дар нашрияҳои гуногун, шумораи ихроҷи ошкоршуда 3938 ва шумораи лоиҳаҳое, ки ҳадди аққал як ихроҷ доранд, 2922 буд.

Дар маҷмӯъ, беш аз 150 намуди ихроҷи маълумоти махфӣ, аз ҷумла паролҳои оддӣ, калидҳои криптографӣ, аломатҳои дастрасӣ ба хидматҳои абрӣ, системаҳои муттаҳидсозии пайваста ва APIҳо муайян карда шудаанд. Дар замони омӯзиш ҳадди аққал 768 эътимоднома фаъол боқӣ монд. Намунаҳои ихроҷи маъмул, ки муҳим боқӣ мемонанд, калидҳои дастрасӣ барои Azure Active Directory, маълумоти эътимоднома барои SSH, MongoDB, MySQL ва PostgreSQL, калидҳо барои GitHub OAuth App, Dropbox ва Auth0, параметрҳои воридшавӣ барои Coinbase ва Twilio мебошанд.

Дар байни навъҳои ихроҷ, ки маъруфият пайдо мекунанд, токенҳо барои дастрасӣ ба ботҳо дар Telegram мебошанд, ки шумораи онҳо дар аввали соли 2021 дучанд ва сипас дар баҳори соли 2023 дубора дучанд шуд. Афзоиши доимии ихроҷҳо инчунин аз соли 2020 барои калидҳои дастрасӣ ба Google API ва аз соли 2022 барои эътимодномаҳо ба DBMS сабт шудааст. Дар байни бастаҳое, ки дар шумораи ихроҷҳо пешсафанд, бастаҳои chatllm ва Safire зикр шудаанд, ки дар онҳо 209 калид ба OpenAI ва 320 калид ба Google Cloud фаромӯш шудаанд.

Дар байни навъҳои файлҳое, ки дар онҳо шумораи зиёди ихроҷҳо муайян карда шудаанд, ба ғайр аз файлҳои дорои тамдиди “.py”, файлҳои дорои тамдиди .json (610 ихроҷ), .md (270), PKG-INFO (240) мавҷуданд. ), METADATA (210), .txt (170), инчунин файлҳои README (209) ва файлҳо аз феҳристҳо бо номи test (675). Бисёре аз ихроҷҳо инчунин аз сабаби назорат ва хатогиҳо дар танзими истиснои файлҳо ҳангоми тавлиди бастаҳо мебошанд. Масалан, файлҳои дорои файлҳои конфигуратсияи маҳаллӣ (.cookiecutterrc, .env, .pypirc ва ғайра) метавонанд тавассути файли ".gitignore" аз анбори Git хориҷ карда шаванд, ки ҳангоми сохтани баста ба назар гирифта намешаванд. Аз ҷумла, дар анбор 43 файли .pypirc ёфт шуд, ки дорои маълумоти эътимоднома барои дастрасӣ ба PyPI. Дар 15 ихроҷ, таҳиягарон ният надоштанд, ки бастаҳоеро, ки дар ибтидо барои истифодаи дохилӣ сохта шудаанд, ба таври оммавӣ интишор кунанд, аммо онҳоро хато дар PyPI нашр карданд.

Илова бар ин, боз ду ҳодисаи марбут ба PyPI метавон зикр кард:

  • Дар анбори PyPI, 8 бастаҳои зараровар муайян карда шуданд, ки ҳамчун утилитаҳо барои гумроҳкунӣ пешниҳод карда шуданд, яъне. кам кардани код ба шакли хонданашаванда, мушкилсозии барқарорсозии алгоритм. Бастаҳои муайяншуда дорои сатри "pyobf" дар номҳои худ буданд (Pyobftoexe, Pyobfusfile, Pyobfeexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse ва pyobfgood) ва зиёда аз 2000 бор бор карда шуданд.

    Коди зарароваре, ки ба бастаҳо ворид карда шуда буд, ба платформа хос буд Windows ва пайвастшавӣ ба идоракунии беруна иҷозат дода шудааст сервер, фармонҳои худсаронаро дар компютери таҳиягар иҷро кунад, маълумоти махфиро, ба монанди калидҳои дастрасӣ, пайдо ва ба сервери беруна фиристад ва файлҳои худсаронаро аз система интиқол диҳад. Ғайр аз ин, рамзи зараровар метавонад ҳамчун клавиатура амал кунад, паролҳои воридшударо дар Chrome дастгир кунад, скриншотҳо эҷод кунад, аудио сабт кунад ва ҳатто веб-камераро идора кунад.

  • Натиҷаҳои аудити мустақили пойгоҳи коди асбобҳое, ки барои ташкили кори анбори pypi.org ва чаҳорчӯбаи каботаж, ки дар инфрасохтори оркестрсозии контейнер истифода мешаванд, нашр шуданд. Аудит бо дастгирии ташкилоти ғайритиҷоратии OTF (Фонди Технологияҳои Open) гузаронида шуд. Дар рафти аудит ягон мушкилоти дорои сатҳи баланди хатар муайян карда нашуданд ва рамзҳои манбаъ ба талаботи асосии рамзгузории бехатар ҷавобгӯ дониста шуданд. Ҳамзамон, фарогирии нокифояи санҷиши пойгоҳи коди каботажӣ қайд карда шуда, 29 мушкилот муайян карда шуд, ки аз онҳо ба 6-то дараҷаи миёна хатар, 14-тоаш паст ва XNUMX-тоаш ҳамчун шарҳи иттилоотӣ қайд карда шуданд.

    Мушкилоти аз ҳама намоён:

    • Санҷиши нокифояи имзоҳои рақамӣ, ки барои ҳамгироии PyPI бо AWS SNS истифода мешаванд, имкон медиҳад, ки огоҳиномаҳо ба почтаи электронии корбарони инфиродӣ фиристода шаванд.
    • Ихроҷи маълумот дар коркардкунандаи зеркашӣ, ки ба шумо имкон медиҳад мавҷудияти ҳисобро бидуни тавлиди ҳодисаҳо дар бораи кӯшишҳои воридшавӣ муайян кунед.
    • Истифодаи хэшҳои криптографии беэътимод, ки ҳамлаҳои заҳролудшавии кэшро истисно намекунанд.
    • Агар шумо ҳуқуқ дошта бошед, ки равандҳои сохтмонро тавассути каботаж оғоз кунед, ҳамлакунанда метавонад ба иваз кардани фармонҳои худ ноил шавад.
    • Бо ҳуқуқҳои ҷойгиркунӣ дар каботаж, ҳамлакунанда метавонад эҳтимолан тасвири қонунии ба назар намоёнро ҷойгир кунад.

Манбаъ: opennet.ru

Хостинги боэътимодро барои сайтҳо бо муҳофизати DDoS, серверҳои VPS VDS харед 🔥 Харидани хостинги боэътимоди вебсайт бо муҳофизати DDoS, серверҳои VPS VDS | ProHoster