Saldırganlar, Python Paket Dizini (PYPI) yayınlama jetonlarını çalmak için yaygın bir kampanyada GitHub Eylemleri iş akışlarına kötü amaçlı kod enjekte ettiler.
Github sırları olarak depolanan bazı belirteçler başarılı bir şekilde ortadan kaldırılırken, PYPI yöneticileri platformun kendisinin tehlikeye atılmadığını ve çalınan belirteçlerin kullanılmadığını doğruladılar.
Saldırı kampanyası, çok çeşitli depolarda GitHub eylemleri iş akışlarını değiştirmeyi içeriyordu. Kötü niyetli kod, sır olarak saklanan PYPI yayınlama jetonlarını yakalamak ve bunları saldırganlar tarafından kontrol edilen harici bir sunucuya göndermek için tasarlanmıştır.
GitHub Eylemlerine Kötü Amaçlı Kod
Gitguardian’daki güvenlik araştırmacıları, 5 Eylül’de, bir projede şüpheli bir Github Eylemleri iş akışı bildirdiklerinde etkinliği ilk kez keşfettiler. fastuuid.
PYPI’nin kötü amaçlı yazılım raporlama aracı aracılığıyla sunulan rapor, PYPI güvenliğini potansiyel eksfiltrasyon girişiminde uyardı.
Saldırganlar bazı jetonları çalmayı başarsa da, Pypi, platformda kötü niyetli paketler yayınlamak veya hesapları uzlaştırmak için kullanıldıklarına dair hiçbir kanıt bulamadı.
İlk raporun ardından, bir Gitguardian araştırmacısı PYPI Security’ye daha ayrıntılı bir e -posta gönderdi, ancak yanlışlıkla bir spam klasörüne yönlendirildi ve yanıtı 10 Eylül’e kadar geciktirdi.
Tam kapsamın farkında olduktan sonra, PYPI yöneticileri bir triyaj sürecine başladı ve GitGuardian ile işbirliği yaptı ve soruşturmaya yardımcı olmak için bir URL şeklinde uzlaşma (IOC) ek bir göstergesini paylaştı.
Bu süre zarfında, etkilenen proje koruyucularının çoğu, araştırmacılar tarafından kamu sayısı izleyicileri aracılığıyla zaten bilgilendirilmişti.
Meydan okulu iş akışlarını depo geçmişinden çıkarmak için kötü niyetli değişiklikleri veya kuvvet pushingini tersine çevirerek yanıt verdiler, birçoğu da proaktif olarak PYPI belirteçlerini döndürdüler.
15 Eylül’de, hiçbir PYPI hesabının tehlikeye atılmadığını doğruladıktan sonra, platformun güvenlik ekibi etkilenen tüm jetonları geçersiz kıldı ve proje koruyucularına resmi olarak haber verdi.
Hafifletme
Olaya yanıt olarak PYPI, geliştiricilerin paket yayınlamak için uzun ömürlü API jetonları kullanmaktan uzaklaşmasını şiddetle tavsiye ediyor. Bu tür saldırılara karşı en etkili savunma güvenilir yayıncıları benimsemektir.
Bu özellik, belirli bir iş akışı çalışması için otomatik olarak üretilen ve belirli bir depoya kapsamlanan kısa ömürlü jetonlar kullanır ve bir jeton eklense bile saldırganlar için fırsat penceresini önemli ölçüde azaltır.
PYPI yöneticileri, güvenilir yayıncıları hemen uygulamak için GitHub Eylemleri aracılığıyla paket yayınlayan tüm kullanıcılara tavsiyelerde bulundular. Ayrıca, geliştiriciler herhangi bir şüpheli etkinlik için PYPI web sitesindeki hesap güvenlik geçmişlerini gözden geçirmeye teşvik edilir.
Bu olayın başarılı bir şekilde ele geçirilmesi, PYPI ile Gitguardian’daki güvenlik araştırmacıları arasındaki işbirliğine yatırıldı.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.