Investigadores de ciberseguridad han revelado el descubrimiento accidental de un token de GitHub filtrado que potencialmente podría haber comprometido los repositorios esenciales de Python, el Índice de Paquetes de Python (PyPI) y los repositorios de la Python Software Foundation (PSF). JFrog, la empresa que identificó el token de acceso personal de GitHub, informó que este secreto se filtró a través de un contenedor Docker público alojado en Docker Hub.
El impacto potencial de este incidente es significativo, según expertos en seguridad de la cadena de suministro de software. La capacidad teórica de inyectar código malicioso en paquetes PyPI podría haber tenido consecuencias devastadoras, incluyendo la manipulación masiva de paquetes Python o del propio lenguaje de programación.
El token comprometido se descubrió dentro de un archivo Python compilado («build.cpython-311.pyc») en el contenedor Docker, donde no fue eliminado correctamente. Después de una divulgación responsable el 28 de junio de 2024, el token fue revocado de inmediato, aunque no se tiene evidencia de que haya sido explotado en la naturaleza.
Ee Durbin, el administrador de PyPI vinculado a la cuenta de GitHub emisora del token, explicó que su inclusión fue un descuido durante el desarrollo local, debido a restricciones de API de GitHub, aunque aseguró que nunca se pretendió su aplicación remota.
Este incidente ocurre en un contexto preocupante, dado que recientemente Checkmarx descubrió varios paquetes maliciosos en PyPI diseñados para filtrar información a un bot de Telegram sin consentimiento. Estos paquetes, identificados como testbrojct2, proxyfullscraper, proxyalhttp y proxyfullscrapers, escanean sistemas comprometidos en busca de archivos específicos y están vinculados a operaciones cibercriminales en curso, incluyendo robo de datos y manipulación de redes sociales.
En conclusión, aunque se ha evitado un posible desastre en esta ocasión, la comunidad de Python y los administradores de repositorios deben permanecer vigilantes ante posibles vulnerabilidades y asegurar prácticas sólidas de seguridad para proteger la integridad del ecosistema de software.
También te puede interesar: ARCA CONTINENTAL ECUADOR Y CORPORACIÓN EL ROSADO IMPULSAN LA RETORNABILIDAD EN LOS MINI DE MI COMISARIATO
