Se encontró que el popular repositorio de paquetes de Python, PyPI, alojaba claves de AWS y malware (se abre en una pestaña nueva)poniendo a innumerables desarrolladores de Python en riesgo de sufrir ataques graves a la cadena de suministro.
Los resultados son cortesía del desarrollador de software Tom Forbes, quien creó una herramienta usando Rust que escaneó todos los paquetes nuevos en PyPI en busca de claves API de AWS.
La herramienta arrojó 57 resultados positivos, incluidos algunos de Amazon, Intel, Stanford, Portland y la Universidad de Louisiana, el gobierno australiano, el departamento de fusión de General Atomics, Terradata, Delta Lake y Top Glove.
Minimizando el daño
«Este informe contiene las claves que se han encontrado, así como un enlace público a las claves y otros metadatos sobre el lanzamiento», dijo Forbes. «Debido a que estas claves están comprometidas con un repositorio público de GitHub, el servicio de escaneo secreto de Github se activa y notifica a AWS que las claves se filtraron».
En consecuencia, AWS notifica al desarrollador de la fuga y lo pone en cuarentena para minimizar los daños. El problema es que una herramienta como esta fue relativamente fácil de construir, y aunque Forbes puede ser benigno en sus intenciones, otros pueden no serlo. Hablando a El registrodijo que diferentes teclas pueden causar diferentes niveles de dolor:
«Depende de los permisos exactos otorgados a la clave en sí», explicó Forbes. «La clave que encontré filtrada por InfoSys [in November] tenía ‘acceso de administrador completo’, lo que significa que puede hacer cualquier cosa, y otras claves que encontré en PyPI eran ‘claves raíz’ que también pueden hacer cualquier cosa. Un atacante que tenga estas claves tendría acceso total a la cuenta de AWS a la que está vinculado».
Agregó que el escaneo automático de claves de GitHub es un paso adelante positivo, pero no suficiente para abordar el problema en su totalidad:
«GitHub también se preocupa mucho por la seguridad de la cadena de suministro, pero se han cavado un agujero: la forma en que buscan secretos implica mucha colaboración con los proveedores que pueden revelar información interna sobre cómo se construyen las claves para GitHub», dijo. «Esto significa que las expresiones regulares que usa GitHub para buscar secretos no se pueden hacer públicas y son confidenciales, lo que también significa que terceros como PyPI no pueden utilizar esta increíble infraestructura sin enviar cada fragmento de código publicado en PyPI a GitHub. «
Si bien culpó a PyPI y dijo que la plataforma podría hacer más para proteger a sus usuarios, también dijo que los desarrolladores deberían asumir cierta responsabilidad por la seguridad de sus soluciones. Además, AWS también debería ser parte de la solución, agregó: «AWS también tiene algo de culpa que compartir aquí: IAM es notoriamente difícil de depurar y corregir, lo que lleva a que se otorguen permisos demasiado amplios en las claves».
Para protegerse contra los ataques a la cadena de suministro a través de PyPI, Forbes dice que las organizaciones deberían reconsiderar sus políticas de seguridad.
Vía: El Registro (se abre en una pestaña nueva)