Витік токенів GitHub наражається на небезпеку репозиторії Python

22.07.2024

Компанія JFrog, яка виявила токен особистого доступу GitHub, заявила, що секретна інформація була розкрита в публічному контейнері Docker, розміщеному на Docker Hub.

Зловмисник міг гіпотетично використовувати свої права адміністратора для організації великомасштабної атаки на ланцюжок поставок, отруївши вихідний код, пов'язаний з ядром мови програмування Python або менеджером пакетів PyPI.

JFrog зазначив, що токен аутентифікації був виявлений усередині контейнера Docker, у скомпілюваному файлі Python ("build.cpython-311.pyc"), який помилково не був очищений.

Після відповідального розкриття 28 червня 2024 року токен, випущений для облікового запису GitHub, пов'язаного з адміністратором PyPI Ee Durbin, був негайно відкликаний. Немає жодних доказів того, що секрет був використаний.

PyPI повідомила, що токен був випущений до 3 березня 2023 року, і що точна дата невідома, оскільки журнали безпеки недоступні понад 90 днів.

Інформація з'явилася після того, як Checkmarx виявила серію шкідливих пакетів на PyPI, призначених для передачі конфіденційної інформації в бот Telegram без згоди або відома жертв.

Пакети, що розглядаються – testbrojct2, proxyfullscraper, proxyalhttp і proxyfullscrapers – працюють шляхом сканування зламаної системи на наявність файлів з розширеннями .py, .php, .zip, .png, .jpg та .jpeg

Звертайтеся, будь ласка, з питаннями про покупку програмних продуктів GitHub, Inc. в компанію «ФОРТ СОФТ» за електронною поштою: [email protected] або за телефоном: +380(44)333-8268.

  • Розкажіть друзям:
Дивитися всі новини
Нові функції Microsoft Office 2024
09.10.2024
Нові функції Microsoft Office 2024
Огляд новинок Microsoft Office 2024 для Windows.
Детальніше
Lumion збільшила бібліотеку анімованих людей
29.09.2024
Lumion збільшила бібліотеку анімованих людей
Персонажі ілюструють ходьбу, презентацію, телефонні дзвінки, фотографування, заняття спортом та багато іншого.
Детальніше
btn Смотреть другие новости