Приложения
Опубликовано 12 июля 2024, 13:21
1 мин.

Язык программирования Python оказался близок к заражению хакерами

GitHub показал риски бинарных файлов
Инцидент с участием Python Software Foundation (PSF) подчеркнул опасность утечки токенов из двоичных файлов. Персональный токен доступа к GitHub с правами администратора к языку программирования Python и репозиториям PyPI был "открыт" примерно год. Токен, принадлежащий директору по инфраструктуре PSF, был случайно включен в скомпилированные двоичные файлы в процессе сборки.
Язык программирования Python оказался близок к заражению хакерами
© Ferra

Компания JFrog, специализирующаяся на безопасности, обнаружила утечку и сообщила о ней, подчеркнув потенциальную опасность, если бы токен был использован не по назначению. Злоумышленники могли внедрить вредоносный код в пакеты Python или в сам язык Python.

Этот инцидент, пишут аналитики, показывает, что одной очистки токенов из исходного кода недостаточно - учетные данные также могут быть встроены в переменные окружения, конфигурационные файлы и бинарные артефакты.

Утечка произошла, когда И Дурбин, директор по инфраструктуре PSF, добавил свой токен доступа, чтобы обойти ограничения скорости GitHub API во время сборки. Хотя токен предназначался только для локального использования, он был случайно включен в файлы .pyc и загружен в Docker Hub. После уведомления JFrog PSF незамедлительно отозвал токен и "не обнаружил никаких признаков вредоносной деятельности".