Индекс пакетов Python реагирует на атаку вредоносного ПО, аннулируя токены

Индекс пакетов Python (PyPI), управляемый Фондом программного обеспечения Python, официально аннулировал все токены публикации, которые были украдены в результате атаки на цепочку поставок GhostAction, произошедшей ранее в сентябре. Это означает, что злоумышленники не могут использовать эти украденные токены для публикации вредоносного ПО.

Атака была направлена на широкий спектр репозиториев, где токены PyPI хранились как секреты GitHub. Злонамеренные лица внедряли код в рабочие процессы GitHub Actions, чтобы похищать эти токены на внешние серверы. Хотя злоумышленникам удалось украсть токены, приятно знать, что они не использовали их для публикации вредоносных пакетов на PyPI, поэтому все участники должны быть в безопасности.

Вся ситуация выяснилась, когда сотрудник GitGuardian использовал кнопку PyPI «Сообщить как вредоносное ПО», чтобы пометить проект под названием «fastuuid». Сотрудник обнаружил вредоносный рабочий процесс GitHub Actions, который пытался украсть токены PyPI. PyPI немедленно аннулировал токены и связался с владельцами проекта. Другой исследователь из GitGuardian отправил электронное письмо с дополнительными находками, но оно оказалось в папке спама, что, к сожалению, задержало ответ до 10 сентября.

Как только команда PyPI узнала о полном масштабе атаки, группа сразу же начала изучать выводы исследователей. Тем временем GitGuardian занимался созданием проблем на GitHub для более чем 570 затронутых репозиториев, чтобы уведомить их владельцев. Многие разработчики проектов отреагировали быстро, либо отменяя изменения в своих рабочих процессах, либо полностью удаляя затронутые рабочие процессы. Многие из них также проактивно обновили свои PyPI-токены, что является разумным шагом.

После подтверждения того, что ни один аккаунт PyPI не был скомпрометирован, команда PyPI связалась со всеми пострадавшими мейнтейнерами 15 сентября, чтобы сообщить им, что их токены были аннулированы. Команда Python Software Foundation призывает мейнтейнеров перейти от долго действующих токенов к гораздо более безопасному методу под названием «Доверенные издатели».

Принцип работы Trusted Publishers заключается в том, что он использует краткоживущие токены, специфичные для определённого репозитория, которые истекают через короткое время. Это значительно снижает риск повторения подобной атаки, и вам стоит серьёзно рассмотреть этот вариант, если вы используете такой тип рабочего процесса.

Хотя токены доверенных издателей всё ещё могут быть украдены, их короткий срок действия делает их гораздо менее ценными для злоумышленников. PyPI также рекомендует войти в свой аккаунт и проверить раздел «История безопасности» на предмет подозрительной активности. Это простой шаг, который может сэкономить вам много проблем в будущем.

Эта кампания GhostAction была делом не мелким. GitGuardian оценил, что в результате атаки было украдено более 3 300 секретов, и это не только токены PyPI. Команда также обнаружила украденные токены для таких сервисов, как npm, DockerHub и Cloudflare, а также ключи доступа AWS и учетные данные баз данных. Похоже, что несколько компаний потеряли контроль над своим полным портфелем SDK на нескольких языках, включая Python, Rust, JavaScript и Go.

Самое страшное во всём этом то, что если бы GitGuardian ничего не заметил, это могло бы пойти дальше. Однако если вы используете Trusted Publishers и время от времени проверяете свою Историю безопасности, вы, скорее всего, обнаружите или избежите таких проблем.

Источник: Блог PyPI