🔥 В Python могли встроить вирус. Все из-за утечки админского токена языка через публичный Docker-контейнер
Новости
В мире программирования произошла одна из самых опасных ошибок за последнее время. И все из-за невнимательности одного из разработчиков
3К открытий33К показов
Команда JFrog Security Research обнаружила и сообщила об утечке токена доступа с правами администратора к GitHub-репозиториям Python, PyPI и Python Software Foundation.
Этот токен был найден в публичном Docker-контейнере, размещённом на Docker Hub.
Обнаружение и реакция
Исследователи JFrog Security регулярно сканирует публичные репозитории, такие как Docker Hub, NPM и PyPI, чтобы выявлять вредоносные пакеты и утечки секретных данных.
В данном случае утечка токена могла бы привести к серьёзным последствиям, так как он предоставлял административный доступ к основным репозиториям Python, PyPI и Python Software Foundation.
Мгновенные действия
Команда JFrog Security немедленно сообщила об утечке команде безопасности PyPI, которая отозвала токен в течение всего 17 минут.
Быстрая реакция помогла предотвратить возможные атаки на цепочку поставок программного обеспечения.
Риски и потенциальные угрозы
Если бы этот токен попал в руки злоумышленников, они могли бы внедрить вредоносный код в пакеты PyPI или даже в сам язык Python.
Это могло бы затронуть миллионы пользователей по всему миру, так как Python является одним из самых популярных языков программирования.
Причина утечки
Токен был найден в бинарном файле Python (pycache/build.cpython-311.pyc), который был частью Docker-контейнера.
Исследователи полагают, что автор кода случайно добавил токен в исходный код, затем скомпилировал его, но не удалил токен из скомпилированного файла перед публикацией Docker-образа.
3К открытий33К показов