GitHub Token Sızıntısı, Python'un Core Repolarını Potansiyel Saldırılara Açık Hale Getirdi

18.07.2024

Siber güvenlik araştırmacıları, Python dili, Python Paket Dizini (PyPI) ve Python Yazılım Vakfı (PSF) depolarına yükseltilmiş erişim sağlayabilecek yanlışlıkla sızdırılmış bir GitHub token'ının keşfini bildirdiler.

GitHub Kişisel Erişim Token'ını bulan firma JFrog, sırrın Docker Hub'da barındırılan bir genel Docker konteynerinde ifşa edildiğini belirtti.

Yazılım tedarik zinciri güvenlik şirketi, "Bu olay, token'ın kötü niyetli aktörler tarafından istismar edilmesi durumunda potansiyel olarak ciddi sonuçlar doğurabileceği için son derece önemliydi. Birinin zararlı kodu PyPI paketlerine enjekte etmesine, potansiyel olarak tüm Python paketlerini zararlı sürümlerle değiştirmesine ve hatta Python dilini bile tehlikeye atmasına izin verebilirdi," dedi.

Bir saldırgan, kaynak kodunu veya PyPI paket yöneticisine sızarak büyük ölçekli bir tedarik zinciri saldırısı başlatmak için yönetici erişimlerini kullanabilirdi.

JFrog, kimlik doğrulama token'ının, yanlışlıkla bırakılmış bir derlenmiş Python dosyasında ("build.cpython-311.pyc") bulunan bir Docker konteynerinde keşfedildiğini açıkladı.

28 Haziran 2024'te sorumlu bir şekilde bildirildikten sonra, PyPI Yöneticisi Ee Durbin'in GitHub hesabıyla bağlantılı olan token hemen iptal edildi. Token'ın bir saldırgan tarafından istismar edildiğine dair bir kanıt bulunmamaktadır.

PyPI, token'ın 3 Mart 2023'ten önce bir tarihte verildiğini, ancak güvenlik günlüklerinin sadece 90 gün boyunca saklandığı için kesin tarihin bilinmediğini belirtti.

Durbin, "Cabotage-app'i yerel olarak geliştirirken ve kod tabanının build kısmı üzerinde çalışırken sık sık GitHub API hız limitlerine takıldım," dedi.

"Bu hız limitleri anonim erişim için geçerli. Sistem üretimde bir GitHub Uygulaması olarak yapılandırılmış olsa da, kendi erişim token'ımı kullanmak için yerel dosyalarımı değiştirdim, bir localhost GitHub Uygulaması kurmak yerine. Bu değişikliklerin uzak depoya gönderilmesi asla planlanmamıştı."

Bu açıklama, Checkmarx'ın PyPI üzerinde kullanıcıların izni veya bilgisi olmadan hassas bilgileri bir Telegram botuna sızdırmak için tasarlanmış birkaç zararlı paketi keşfetmesiyle aynı zamana denk gelmektedir

Zararlı paketler – testbrojct2, proxyfullscraper, proxyalhttp ve proxyfullscrapers – .py, .php, .zip, .png, .jpg ve .jpeg gibi uzantılara sahip dosyaları tarayarak çalışmaktadır.