Что если сам язык программирования Python был зловредным? Это был бы самый разрушительный атака на поставки в истории человечества — но это чуть не произошло после того, как важный токен GitHub был случайно утек.
Исследователи по кибербезопасности из JFrog недавно обнаружили личный токен доступа к GitHub в общедоступном контейнере Docker, размещенном на Docker Hub, который предоставлял повышенный доступ к репозиториям Python, Python Package Index (PyPI) и Python Software Foundation (PSF).
«Этот случай был исключительным, потому что нельзя переоценить потенциальные последствия, если бы он попал в неправильные руки — можно было предположительно внедрить вредоносный код в пакеты PyPI (представьте себе замену всех пакетов Python на вредоносные) и даже в сам Python», — говорят исследователи в своем отчете.
Они добавили, что нашли токен внутри контейнера Docker в скомпилированном файле Python, который ошибочно не был очищен.
Согласно PyPI, токен был выдан до 3 марта 2023 года, но точную дату определить невозможно, поскольку логи хранятся всего 90 дней. Администратор PyPI Ии Дурбин был уведомлен 28 июня этого года, после чего токен был отозван.
Python Package Index (PyPI) — это главный источник пакетов Python в мире. Эта платформа с открытым исходным кодом является центральным хабом для разработчиков, желающих опубликовать и поделиться своим программным обеспечением и библиотеками Python с сообществом. Поэтому она является чрезвычайно популярной мишенью для киберпреступников, заинтересованных в атаках на цепочку поставок. Проникая в платформу вредоносными пакетами (или отравляя существующие), киберпреступники могут скомпрометировать сотни организаций одним ударом.
Чтобы усложнить ситуацию, многие компании Fortune 100 используют PyPI в своих программных продуктах, включая Google, Microsoft, Amazon и Apple.
В конце марта 2024 года платформа была вынуждена приостановить регистрацию новых учетных записей и новых проектов, чтобы противостоять масштабной кибератаке, в ходе которой злоумышленники пытались загрузить сотни вредоносных пакетов.
Через TheHackerNews
Источник: TechRadar
