JFrogレポート: GitHubのPythonリポジトリーで重大なリークを検出

JFrogレポート: GitHubのPythonリポジトリーで重大なリークを検出

JFrogのセキュリティーリサーチチームは、Python、PyPI、Python Software FoundationのGitHubリポジトリーへの管理者アクセス権を持つ漏洩したアクセストークンに関連する、重大なセキュリティーリスクを発見した。トークンは、Docker HubでホストされているパブリックDockerコンテナで発見。Docker Hub、NPM、PyPIなどのパブリックリポジトリーを積極的にスキャンすることで、潜在的な脅威や悪意のあるパッケージを特定し、悪用される前に関連するメンテナーに報告できるようにした。

漏洩したシークレットはJFrogセキュリティーリサーチチームによって特定され、すぐにPyPIのセキュリティーチームに報告された。トークンは17分以内に取り消され、サプライチェーンの潜在的な災害は回避された。トークンが悪意のある人の手に渡った場合、攻撃者はPyPIパッケージやPython言語自体に悪意のあるコードを挿入できる可能性がある。トークンに関連付けられたユーザーは、Python Software Foundation(PSF)、PyPI、Python言語、CPythonなど、Pythonインフラのコアリポジトリーへの管理者アクセス権を持っていた。

認証トークンは、Dockerコンテナ内のコンパイルされたPythonファイルで見つかり、元の作者はソースコードに認証トークンを簡単に追加し、ソースコードを実行した。ソースコードが認証トークンとともに.pycバイナリーにコンパイルされ、ソースコードから認証トークンが削除されたが、.pycはクリーンアップされず、クリーンなソースコードとクリーンでない.pycバイナリーの両方がDockerイメージにプッシュされた。これは、公開されたDockerイメージ内のソースコードとバイナリーデータの両方を監査することの重要性を示している。

このインシデントは、ソースコードとバイナリーデータの両方でシークレットを検出することの重要性を物語っている。最新のIDEや開発ツールはソースコード内のシークレットを効果的に検出し、漏洩を防止するが、その範囲はコードに限定されており、ビルドおよびパッケージングツールによって作成されたバイナリーアーティファクトは含まれない。JFrogセキュリティーリサーチチームは、可視性を高めるために古いスタイルのGitHubトークンを新しいものに置き換え、トークンの範囲をそれを使用するアプリケーションに必要なリソースに制限することを推奨している。JFrogのシークレット検出エンジンは、コンパイルされたPythonバイナリーファイル(pyc)で漏洩したにもかかわらず、この重要なトークンを見つけることができた。これは、テキストファイルとバイナリーファイルで漏洩したシークレットをスキャンすることの重要性を示している。

出典:JFrog

この製品の詳細については、JFrog製品ページをご覧ください。

You've successfully subscribed to DXable News
Great! Next, complete checkout to get full access to all premium content.
Welcome back! You've successfully signed in.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Billing info update failed.
Dark Light