Pesquisadores de segurança cibernética disseram que descobriram um token GitHub vazado acidentalmente que poderia ter concedido acesso elevado aos repositórios GitHub da linguagem Python, Python Bundle Index (PyPI) e aos repositórios Python Software program Basis (PSF).
JFrog, que encontrou o GitHub Private Entry Token, disse que o segredo vazou em um contêiner público do Docker hospedado no Docker Hub.
“Este caso foi excepcional porque é difícil superestimar as potenciais consequências se ele tivesse caído em mãos erradas – alguém poderia supostamente injetar código malicioso em pacotes PyPI (think about substituir todos os pacotes Python por pacotes maliciosos) e até mesmo na própria linguagem Python”, disse a empresa de segurança da cadeia de suprimentos de software program.
Um invasor poderia hipoteticamente ter usado seu acesso de administrador como arma para orquestrar um ataque em larga escala à cadeia de suprimentos, envenenando o código-fonte associado ao núcleo da linguagem de programação Python ou ao gerenciador de pacotes PyPI.
O JFrog observou que o token de autenticação foi encontrado dentro de um contêiner Docker, em um arquivo Python compilado (“construct.cpython-311.pyc”) que inadvertidamente não foi limpo.
Após a divulgação responsável em 28 de junho de 2024, o token – que foi emitido para a conta do GitHub vinculada ao PyPI Admin Ee Durbin – foi imediatamente revogado. Não há evidências de que o segredo tenha sido explorado na natureza.
A PyPI disse que o token foi emitido em algum momento antes de 3 de março de 2023, e que an information exata é desconhecida devido ao fato de que os registros de segurança não ficam disponíveis por mais de 90 dias.
“Ao desenvolver o cabotage-app5 localmente, trabalhando na parte de construção da base de código, eu estava constantemente encontrando limites de taxa da API do GitHub”, explicou Durbin.
“Esses limites de taxa se aplicam ao acesso anônimo. Enquanto em produção o sistema é configurado como um GitHub App, modifiquei meus arquivos locais para incluir meu próprio token de acesso em um ato de preguiça, em vez de configurar um GitHub App localhost. Essas alterações nunca foram planejadas para serem enviadas remotamente.”
A divulgação ocorre no momento em que a Checkmarx descobriu uma série de pacotes maliciosos no PyPI que são projetados para exfiltrar informações confidenciais para um bot do Telegram sem o consentimento ou conhecimento das vítimas.
Os pacotes em questão – testbrojct2, proxyfullscraper, proxyalhttp e proxyfullscrapers – funcionam escaneando o sistema comprometido em busca de arquivos que correspondam a extensões como .py, .php, .zip, .png, .jpg e .jpeg.
“O bot do Telegram está vinculado a diversas operações cibercriminosas sediadas no Iraque”, disse o pesquisador da Checkmarx Yehuda Gelb, observando que o histórico de mensagens do bot remonta a 2022.
“O bot também funciona como um mercado clandestino que oferece serviços de manipulação de mídia social. Ele foi associado a roubo financeiro e explora vítimas exfiltrando seus dados.”
