Các nhà nghiên cứu an ninh mạng cho biết họ đã phát hiện ra một mã thông báo GitHub vô tình bị rò rỉ có thể đã cấp quyền truy cập cao vào kho lưu trữ GitHub của ngôn ngữ Python, Python Package Index (PyPI) và kho lưu trữ Python Software Foundation (PSF).
JFrog, công ty đã tìm thấy GitHub Personal Access Token, cho biết bí mật đã bị rò rỉ trong một container Docker công khai được lưu trữ trên Docker Hub.
Kẻ tấn công có thể đã vũ khí hóa quyền truy cập quản trị viên của họ để dàn dựng một cuộc tấn công chuỗi cung ứng quy mô lớn bằng cách đầu độc mã nguồn được liên kết với cốt lõi của ngôn ngữ lập trình Python hoặc trình quản lý gói PyPI.
JFrog lưu ý rằng mã thông báo xác thực đã được tìm thấy bên trong một container Docker, trong một tệp Python được biên dịch ("build.cpython-311.pyc") đã vô tình không được dọn dẹp.
Sau khi tiết lộ có trách nhiệm vào ngày 28 tháng 6 năm 2024, mã thông báo - được phát hành cho tài khoản GitHub được liên kết với Quản trị viên PyPI Ee Durbin - đã ngay lập tức bị thu hồi. Không có bằng chứng cho thấy bí mật đã được khai thác trong tự nhiên.
PyPI cho biết mã thông báo đã được phát hành vào khoảng trước ngày 3 tháng 3 năm 2023 và ngày chính xác vẫn chưa được biết do thực tế là nhật ký bảo mật không có sẵn sau 90 ngày.
Tiết lộ được đưa ra khi Checkmarx phát hiện ra một loạt các gói độc hại trên PyPI được thiết kế để trích xuất thông tin nhạy cảm cho bot Telegram mà không có sự đồng ý hoặc kiến thức của nạn nhân.
Các gói được đề cập - testbrojct2, proxyfullscraper, proxyalhttp và proxyfullscrapers - hoạt động bằng cách quét hệ thống bị xâm nhập để tìm các tệp phù hợp với các phần mở rộng như .py, .php, .zip, .png, .jpg và .jpeg.
"Bot Telegram được liên kết với nhiều hoạt động tội phạm mạng có trụ sở tại Iraq", nhà nghiên cứu Yehuda Gelb của Checkmarx cho biết, lưu ý lịch sử tin nhắn của bot bắt đầu từ năm 2022.
"Bot cũng hoạt động như một thị trường ngầm cung cấp các dịch vụ thao túng truyền thông xã hội. Nó có liên quan đến hành vi trộm cắp tài chính và khai thác nạn nhân bằng cách lấy cắp dữ liệu của họ".