- Автор темы
- #1
Команда Python Software Foundation сообщила, что аннулировала все токены PyPI, украденные в ходе атаки на цепочку поставок GhostAction, произошедшей в начале сентября. Специалисты подчеркнули, что атакующие не использовали токены для публикации малвари.
Напомним, что в начале сентября исследователи из компании GitGuardian обнаружили, что вредоносные workflow GitHub Actions (например, FastUUID) пытаются украсть токены PyPI, отправив их на удаленный сервер. Специалисты GitGuardian в тот же день отправили письмо в службу безопасности PyPI, однако сообщение попало в спам, что задержало реагирование на инцидент до 10 сентября.
По оценке GitGuardian, в ходе атаки GhostAction было украдено более 3300 секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS, и учетные данные баз данных.
Как только в GitGuardian поняли полный масштаб происходящего, компания создала issue на GitHub в более чем 570 пострадавших репозиториях и уведомила об инциденте команды безопасности GitHub, npm и PyPI.
Многие мейнтейнеры проектов сами сменили свои токены PyPI, откатили изменения или удалили затронутые workflow после получения уведомлений.
Хотя команда PyPI сообщает, что не нашла свидетельств компрометации репозиториев PyPI, было принято решение аннулировать все пострадавшие токены. Также специалисты связались с владельцами затронутых атакой проектов, чтобы помочь им защитить аккаунты.
Как сообщает администратор PyPI Майк Фидлер (Mike Fiedler), мейнтейнерам пакетов PyPI, использующим GitHub Actions, рекомендуется заменить long-lived токены на short-lived токены Trusted Publishers, что может защитить от подобных атак. Также он призвал всех войти в свои аккаунты и проверить историю на предмет подозрительной активности.
Напомним, что в начале сентября исследователи из компании GitGuardian обнаружили, что вредоносные workflow GitHub Actions (например, FastUUID) пытаются украсть токены PyPI, отправив их на удаленный сервер. Специалисты GitGuardian в тот же день отправили письмо в службу безопасности PyPI, однако сообщение попало в спам, что задержало реагирование на инцидент до 10 сентября.
По оценке GitGuardian, в ходе атаки GhostAction было украдено более 3300 секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS, и учетные данные баз данных.
Как только в GitGuardian поняли полный масштаб происходящего, компания создала issue на GitHub в более чем 570 пострадавших репозиториях и уведомила об инциденте команды безопасности GitHub, npm и PyPI.
Многие мейнтейнеры проектов сами сменили свои токены PyPI, откатили изменения или удалили затронутые workflow после получения уведомлений.
Хотя команда PyPI сообщает, что не нашла свидетельств компрометации репозиториев PyPI, было принято решение аннулировать все пострадавшие токены. Также специалисты связались с владельцами затронутых атакой проектов, чтобы помочь им защитить аккаунты.
Как сообщает администратор PyPI Майк Фидлер (Mike Fiedler), мейнтейнерам пакетов PyPI, использующим GitHub Actions, рекомендуется заменить long-lived токены на short-lived токены Trusted Publishers, что может защитить от подобных атак. Также он призвал всех войти в свои аккаунты и проверить историю на предмет подозрительной активности.