Pesquisadores de cibersegurança informaram que descobriram um token do GitHub, vazado acidentalmente, que poderia ter concedido acesso elevado aos repositórios da linguagem Python, Python Package Index (PyPI) e aos repositórios da Python Software Foundation (PSF).
A JFrog, que encontrou o GitHub Personal Access Token, disse que o segredo foi vazado em um contêiner Docker público hospedado no Docker Hub.
"Este caso foi excepcional porque é difícil superestimar as potenciais consequências caso caísse nas mãos erradas – poderia supostamente injetar código malicioso nos pacotes do PyPI (imagine substituir todos os pacotes Python por maliciosos), e até na própria linguagem Python", disse a empresa de segurança da cadeia de suprimentos de software.
Um atacante poderia ter, hipoteticamente, utilizado seu acesso de administrador para orquestrar um ataque em larga escala na cadeia de suprimentos, contaminando o código-fonte associado ao núcleo da linguagem de programação Python, ou ao gerenciador de pacotes PyPI.
A JFrog observou que o token de autenticação foi encontrado dentro de um contêiner Docker, em um arquivo Python compilado ("build.cpython-311.pyc") que inadvertidamente não foi limpo.
Após a divulgação responsável em 28 de junho de 2024, o token – que foi emitido para a conta do GitHub vinculada ao Administrador PyPI Ee Durbin – foi imediatamente revogado.
Não há evidências de que o segredo tenha sido explorado na prática.
O PyPI disse que o token foi emitido algum tempo antes de 3 de março de 2023 e que a data exata é desconhecida pelo fato de que os registros de segurança não estão disponíveis além de 90 dias.
"Enquanto desenvolvia localmente o cabotage-app5, trabalhando na parte de build do código-fonte, eu estava consistentemente encontrando limites de taxa da API do GitHub", Durbin explicou.
Esses limites aplicam-se ao acesso anônimo.
Embora, na produção, o sistema esteja configurado como um GitHub App, modifiquei meus arquivos locais para incluir meu próprio token de acesso em um ato de preguiça, em vez de configurar um GitHub App localhost.
Essas mudanças nunca foram destinadas a serem enviadas remotamente.
A divulgação ocorre enquanto a Checkmarx descobriu uma série de pacotes maliciosos no PyPI projetados para exfiltrar informações sensíveis para um bot no Telegram sem o consentimento ou conhecimento das vítimas.
Os pacotes em questão – testbrojct2, proxyfullscraper, proxyalhttp e proxyfullscrapers – funcionam escaneando o sistema comprometido em busca de arquivos que correspondam a extensões como .py, .php, .zip, .png, .jpg e .jpeg.
"O bot do Telegram está ligado a múltiplas operações cibernéticas baseadas no Iraque", disse o pesquisador da Checkmarx, Yehuda Gelb, observando que o histórico de mensagens do bot remonta a 2022.
O bot também funciona como um mercado negro, oferecendo serviços de manipulação de mídias sociais.Tem sido associado a furto financeiro e explora as vítimas exfiltrando seus dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...