Vazamento de Tokens do GitHub

AquaDev_Shasta · Julho 24, 2024, 8:47am

Pesquisadores de cibersegurança informaram que descobriram um token do GitHub, vazado acidentalmente, que poderia ter concedido acesso elevado aos repositórios da linguagem Python, Python Package Index (PyPI) e aos repositórios da Python Software Foundation (PSF).

A JFrog, que encontrou o GitHub Personal Access Token, disse que o segredo foi vazado em um contêiner Docker público hospedado no Docker Hub.

“Este caso foi excepcional porque é difícil superestimar as potenciais consequências caso caísse nas mãos erradas – poderia supostamente injetar código malicioso nos pacotes do PyPI (imagine substituir todos os pacotes Python por maliciosos), e até na própria linguagem Python”, disse a empresa de segurança da cadeia de suprimentos de software.

Um atacante poderia ter, hipoteticamente, utilizado seu acesso de administrador para orquestrar um ataque em larga escala na cadeia de suprimentos, contaminando o código-fonte associado ao núcleo da linguagem de programação Python, ou ao gerenciador de pacotes PyPI.

A JFrog observou que o token de autenticação foi encontrado dentro de um contêiner Docker, em um arquivo Python compilado (“build.cpython-311.pyc”) que inadvertidamente não foi limpo.

Após a divulgação responsável em 28 de junho de 2024, o token – que foi emitido para a conta do GitHub vinculada ao Administrador PyPI Ee Durbin – foi imediatamente revogado.

Não há evidências de que o segredo tenha sido explorado na prática.

O PyPI disse que o token foi emitido algum tempo antes de 3 de março de 2023 e que a data exata é desconhecida pelo fato de que os registros de segurança não estão disponíveis além de 90 dias.

“Enquanto desenvolvia localmente o cabotage-app5, trabalhando na parte de build do código-fonte, eu estava consistentemente encontrando limites de taxa da API do GitHub”, Durbin explicou.
Esses limites aplicam-se ao acesso anônimo.

Embora, na produção, o sistema esteja configurado como um GitHub App, modifiquei meus arquivos locais para incluir meu próprio token de acesso em um ato de preguiça, em vez de configurar um GitHub App localhost.

Essas mudanças nunca foram destinadas a serem enviadas remotamente.

A divulgação ocorre enquanto a Checkmarx descobriu uma série de pacotes maliciosos no PyPI projetados para exfiltrar informações sensíveis para um bot no Telegram sem o consentimento ou conhecimento das vítimas.

Os pacotes em questão – testbrojct2, proxyfullscraper, proxyalhttp e proxyfullscrapers – funcionam escaneando o sistema comprometido em busca de arquivos que correspondam a extensões como .py, .php, .zip, .png, .jpg e .jpeg.
“O bot do Telegram está ligado a múltiplas operações cibernéticas baseadas no Iraque”, disse o pesquisador da Checkmarx, Yehuda Gelb, observando que o histórico de mensagens do bot remonta a 2022.

O bot também funciona como um mercado negro, oferecendo serviços de manipulação de mídias sociais.Tem sido associado a furto financeiro e explora as vítimas exfiltrando seus dados.

AquaDev_Shasta · Julho 24, 2024, 8:49am

Essa notícia galera, é de dezesseis de julho de 2.024, e eu sempre aconselho: analisem bem para decidir no momento em que optarem por git clone. No caso da notícia acima,foi só um susto,mas vazamento de dados no Github, aqui e ali ocorrem. Hoje atual há muita gente sentadas em suas cadeiras , recebendo códigos de programadores em tempo real,e muitos nem desconfiam desse fato como uma real condição. Lamentável, admito.

sparrow · Julho 24, 2024, 11:36am

Agradeço pelas notícias, mas coloca o link original da matéria para o leitor pesquisar, se não fica parecendo aquelas headlines de Facebook sem fundamento nenhum que as tias saem compartilhando.

AquaDev_Shasta · Julho 24, 2024, 12:16pm

Entendo seu requerimento @sparrow minhas fontes de informação são de vários sites, tipo eles: CISO Advisor,Neowin, CyberNews,VentureBeat,TechRadar,The register,The Verge, 9to5google, 9to5Mac,ESET, Hacker News,etc. Há outros que não quis citar aqui,eu não gosto muito direcionar pessoas a links, esse tipo de notícia, comecei compartilhar, mas já estou parando, só vou publicar mais uma notícia e pronto. Stop total. Mas por respeito,sitei alguns sites,e nas matérias há citações que pode servir como referência de buscas. Entendo perfeitamente sua sujestão.

Natanael.755 · Julho 24, 2024, 12:31pm

Vc parece ser novo aqui no fórum, aqui é uma pratica de cultura por o link de onde você tirou, esse tipo de comportamento:

É desincentivado aqui por n motivos que eu acho que a @equipe-diolinux pode te explicar melhor, quanto ao texto, você parece ter tirado do Hacker News:

Já sobre isso, o real problema é o pip install não é diretamente relacionado ao vazamento do token, em teoria o mesmo pode acontecer com qualquer gestor de pacotes não-estatico mesmo a loja da Microsoft e Apple podem ser vítimas, vai muito além de analisar se usa um git clone ou não

AquaDev_Shasta · Julho 24, 2024, 1:06pm

Eu já me expliquei sobre. Sou profissional na área de cibersegurança,eu sempre analiso em um estado amplo para cautela. Esse é eu posicionamento, então como disse,estas sinalizações como notícias, logo comecei,mas o objetivo foi o silenciar sobre, pós um alerta sobre a condição atual na web,e nunca objetivo meu,gerar conflito via discussão e debates acalorados com comentários superficiais que não possam realmente contribuir. Possa venha disso saber. Não prezo por conflito, mas bons endimentos. Por ser novo usuário aqui, prezo pelo silêncio aqui, visando o meu futuro aqui, pois naquele tempo, quero contribuir. Gosto daqui. Se soei confuso cognitivo,ou meio que tóxico,peço desculpas. Bom, é isso e até um dia no futuro. Muito grato por está aqui, pretendo continuar silenciosamente.

Natanael.755 · Julho 24, 2024, 2:32pm

Fico feliz em saber disso, mas coloca a fonte, é uma boa prática e aumenta o interesse do leitor pelo assunto, é a melhor forma de contribuir