网络安全研究人员表示,他们发现了一个意外泄露的 GitHub 令牌,该令牌可能授予对 Python 语言的 GitHub 存储库、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。
发现 GitHub 个人访问令牌的 JFrog 表示,该密钥是在 Docker Hub 上托管的公共 Docker 容器中泄露的。
“这个案例很特殊,因为如果它落入坏人之手,很难高估潜在的后果——人们可能会将恶意代码注入 PyPI 包(想象一下用恶意包替换所有 Python 包),甚至注入 Python 语言本身,”软件供应链安全公司表示。
假设攻击者可以通过毒害与 Python 编程语言核心或 PyPI 包管理器相关的源代码来将其管理员访问权限武器化,以协调大规模供应链攻击。
JFrog 指出,身份验证令牌是在 Docker 容器中发现的,在一个编译的 Python 文件(“build.cpython-311.pyc”)中,该文件无意中没有清理。
在 2024 年 6 月 28 日负责任地披露后,该代币——为与 PyPI 管理员 Ee Durbin 关联的 GitHub 帐户发行——立即被撤销。没有证据表明这个秘密在野外被利用了。
PyPI 表示,该代币是在 2023 年 3 月 3 日之前的某个时间发行的,由于安全日志超过 90 天就不可用,确切日期尚不清楚。
“在本地开发 cabotage-app5 时,在代码库的构建部分工作时,我经常遇到 GitHub API 速率限制,”Durbin 解释道。“这些速率限制适用于匿名访问。在生产环境中,系统被配置为 GitHub 应用程序时,我修改了我的本地文件,以包含我自己的访问令牌,而不是配置本地主机 GitHub 应用程序。这些变化从来都不是远程推动的。
此次披露之际,Checkmarx 在 PyPI 上发现了一系列恶意软件包,这些软件包旨在在未经受害者同意或不知情的情况下将敏感信息泄露给 Telegram 机器人。
有问题的软件包(testbrojct2、proxyfullscraper、proxyalhttp 和 proxyfullscrapers)通过扫描受感染的系统以查找与 .py、.php、.zip、.png、.jpg 和 .jpeg 等扩展名匹配的文件来工作。
“Telegram 机器人与伊拉克的多个网络犯罪行动有关,”Checkmarx 研究员 Yehuda Gelb 说,并指出该机器人的消息历史可以追溯到 2022 年。
“该机器人还充当地下市场,提供社交媒体操纵服务。它与金融盗窃有关,并通过泄露受害者的数据来利用受害者。
发表评论
您还未登录,请先登录。
登录