В PyPl снова были обнаружены ключи AWS и вредоносное ПО
11 января 2023 г.В популярном репозитории пакетов Python PyPI были обнаружены ключи AWS и вредоносное ПО, подвергая бесчисленное количество разработчиков Python риску серьезных атак на цепочку поставок.
Инструмент вернулся с 57 положительными результатами, в том числе от Amazon, Intel, Стэнфордского, Портлендского и Луизианского университетов, правительства Австралии, отдела термоядерного синтеза General Atomics, Terradata, Delta Lake и Top Glove.< /p>
Минимизация ущерба
«Этот отчет содержит найденные ключи, а также общедоступную ссылку на ключи и другие метаданные о выпуске», — сообщает Forbes. «Поскольку эти ключи зафиксированы в общедоступном репозитории GitHub, срабатывает сервис Github Secret Scanning и уведомляет AWS об утечке ключей». Следовательно, AWS уведомляет разработчика об утечке и помещает ее в карантин, чтобы свести к минимуму повреждения. Проблема в том, что такой инструмент, как этот, было относительно легко создать, и, хотя намерения Forbes могут быть благожелательными, другие могут быть нет. В беседе с The Register он сказал, что разные ключи могут вызывать разную степень боли:
«Это зависит от конкретных разрешений, предоставленных самому ключу», — пояснил Forbes. «Ключ, который я обнаружил в утечке из InfoSys [в ноябре], имел «полный доступ администратора», что означает, что он может делать все, что угодно, а другие ключи, которые я нашел в PyPI, были «корневыми ключами», которым также разрешено делать что угодно. Злоумышленник, владеющий этими keys будет иметь полный доступ к аккаунту AWS, с которым он связан."
Он добавил, что автоматическое сканирование ключей GitHub — это положительный шаг вперед, но недостаточный для решения проблемы в целом:
"GitHub также очень заботится о безопасности цепочки поставок, но они сами зарыли Hole: То, как они сканируют секреты, предполагает активное сотрудничество с поставщиками, которые могут раскрывать внутреннюю информацию о том, как создаются ключи для GitHub», — сказал он. «Это означает, что регулярные выражения, которые GitHub использует для поиска секретов, не могут быть обнародованы и являются конфиденциальными, что также означает, что третьи стороны, такие как PyPI, фактически не могут использовать эту потрясающую инфраструктуру без отправки каждого бита кода, опубликованного в PyPI, в GitHub. "
Хотя он обвинил PyPI, заявив, что платформа может сделать больше для защиты своих пользователей, он также сказал, что разработчики должны взять на себя определенную ответственность за безопасность своих решений. Более того, AWS также должен быть частью решения, добавил он: «AWS также имеет некоторую вину здесь: IAM, как известно, сложно отлаживать и правильно настроить, что приводит к чрезмерно широким разрешениям, предоставляемым для ключей».
По мнению Forbes, для защиты от атак на цепочку поставок через PyPI организациям следует пересмотреть свои политики безопасности.
- Ознакомьтесь с нашим кратким обзором наилучшей защиты конечных точек. инструменты прямо сейчас
Через: Реестр
Оригинал