La Amenaza Inadvertida de un Token de GitHub Filtrado: Implicaciones Mayores para la Comunidad de Python
El 15 de julio de 2024, investigadores en ciberseguridad revelaron el hallazgo de un token de acceso personal de GitHub que, accidentalmente expuesto, podría haber otorgado permisos elevados a los repositorios de GitHub del lenguaje de Python, el Python Package Index (PyPI) y la Python Software Foundation (PSF). Este descubrimiento fue realizado por JFrog, una empresa especializada en la seguridad de la cadena de suministro de software.
El Hallazgo
El token filtrado fue descubierto en un contenedor de Docker público alojado en Docker Hub. Este detalle fue revelador, pues el token comprometido se encontraba en un archivo Python compilado (“build.cpython-311.pyc”) que no fue eliminado debidamente.
JFrog enfatizó la gravedad potencial de la filtración:
“Este caso es excepcional porque es difícil sobrestimar las posibles consecuencias si hubiera caído en las manos equivocadas – podría haberse inyectado código malicioso en los paquetes de PyPI, e incluso en el propio lenguaje Python.”
Implicaciones de Seguridad
Si un atacante hubiera explotado el acceso administrativo que este token podría haber proporcionado, las implicaciones serían devastadoras, incluyendo:
– La inserción de código malicioso en los paquetes de PyPI.
– La contaminación del código fuente del núcleo del lenguaje Python.
– La posibilidad de orquestar un ataque a gran escala contra la cadena de suministro de software.
Respuesta y Medidas Correctivas
El token estaba vinculado a la cuenta de GitHub de Ee Durbin, un administrador de PyPI. Tras una divulgación responsable el 28 de junio de 2024, este token fue revocado de inmediato. Hasta la fecha, no hay evidencia de que el token haya sido explotado en la práctica.
Otra Amenaza: Paquetes Maliciosos en PyPI
En paralelo, Checkmarx identificó una serie de paquetes maliciosos en PyPI diseñados para exfiltrar información sensible a un bot de Telegram sin el consentimiento de las víctimas. Los paquetes identificados –testbrojct2, proxyfullscraper, proxyalhttp y proxyfullscrapers– escanean los sistemas comprometidos en busca de archivos con extensiones .py, .php, .zip, .png, .jpg y .jpeg.
Yehuda Gelb, investigador de Checkmarx, describió la operación:
“El bot de Telegram está vinculado a múltiples operaciones cibercriminales basadas en Irak y también funciona como un mercado subterráneo que ofrece servicios de manipulación de redes sociales. Ha estado vinculado a robos financieros y explota a las víctimas exfiltrando sus datos.”
Conclusión
Estos incidentes subrayan la importancia crítica de la seguridad en la cadena de suministro de software, especialmente en ecosistemas tan amplios y fundamentales como Python. Mantener prácticas de codificación seguras y realizar limpiezas de artefactos compilados son acciones clave para prevenir futuras vulnerabilidades.
Los desarrolladores y administradores deben estar siempre alertas sobre las configuraciones y accesos que manejan, asegurándose de que sus tokens y credenciales no se filtren accidentalmente en archivos o contenedores públicos. JFrog y Checkmarx continúan destacando la necesidad de una mayor vigilancia y ciberhigiene en los desarrollos de software para proteger no solo sus códigos sino también a la vasta comunidad que depende de ellos.
Para más detalles sobre este incidente, te sugerimos revisar el informe oficial de JFrog y el análisis de Checkmarx.
Fuente: https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html