Los investigadores de ciberseguridad dijeron que descubrieron un token de GitHub filtrado accidentalmente que podría haber otorgado acceso elevado a los repositorios de GitHub del lenguaje Python, Python Package Index (PyPI) y los repositorios de Python Software Foundation (PSF).
JFrog, que descubrió el token de acceso personal de GitHub, dijo que el secreto se filtró en un contenedor Docker público alojado en Docker Hub.
“Este caso fue excepcional porque es difícil sobreestimar las posibles consecuencias si cayera en las manos equivocadas: supuestamente se podría inyectar código malicioso en paquetes PyPI (imagínese reemplazar todos los paquetes Python con paquetes maliciosos), e incluso en el propio lenguaje Python”. dijo la empresa de seguridad de la cadena de suministro de software. dicho.
Un atacante podría haber utilizado hipotéticamente su acceso de administrador para orquestar un ataque a la cadena de suministro a gran escala envenenando el código fuente asociado con el núcleo del lenguaje de programación Python o el administrador de paquetes PyPI.
JFrog notó que el token de autenticación se encontró dentro de un contenedor Docker, en un archivo Python compilado (“build.cpython-311.pyc”) que sin darse cuenta no se limpió.
Tras una divulgación responsable el 28 de junio de 2024, el token, que se emitió a la cuenta de GitHub vinculada al administrador de PyPI, Ee Durbin, fue inmediatamente revocado. No hay evidencia de que el secreto haya sido explotado en la naturaleza.
PyPI dijo que el token se emitió antes del 3 de marzo de 2023 y se desconoce la fecha exacta debido a que los registros de seguridad no están disponibles más allá de los 90 días.
“Mientras desarrollaba cabotage-app5 localmente, trabajaba en la parte de compilación del código base, constantemente me topaba con límites de rendimiento de la API de GitHub”, dijo Durbin. explicar.
“Estos límites de tarifas se aplican al acceso anónimo. Mientras que en producción el sistema está configurado como una aplicación GitHub, modifiqué mis archivos locales para incluir mi propio token de acceso en un acto de pereza, en lugar de configurar una aplicación GitHub local. Estos cambios nunca tuvieron la intención de aplicarse de forma remota. »
Esta revelación se produce cuando Checkmarx descubrió una serie de paquetes maliciosos en PyPI, diseñados para filtrar información confidencial a un bot de Telegram sin el consentimiento o conocimiento de las víctimas.
Los paquetes en cuestión (testbrojct2, proxyfullscraper, proxyalhttp y proxyfullscrapers) funcionan escaneando el sistema comprometido en busca de archivos que coincidan con extensiones como .py, .php, .zip, .png, .jpg y .jpeg.
“El robot de Telegram está vinculado a múltiples operaciones cibercriminales con base en Irak”, afirmó Yehuda Gelb, investigador de Checkmarx. dichoseñalando que el historial de mensajes del bot se remonta a 2022.
“El robot también funciona como un mercado clandestino que ofrece servicios de manipulación de redes sociales. Se le ha relacionado con el robo financiero y explota a las víctimas extrayendo sus datos. »