В репозитории Python-пакетов PyPI появилась возможность публиковать пакеты без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации Trusted Publishers позволит решить проблему с публикацией вредоносных обновлений из-за компрометации внешних систем или при раскрытии паролей или токенов.
Он основан на использовании стандарта OpenID Connect (OIDC). Это подразумевает использование токенов аутентификации с ограниченным временем действия, которыми обмениваются внешние сервисы и каталог PyPI для подтверждения операции публикации пакета.
Trusted Publishers уже реализовали для обработчиков, запускаемых в GitHub Actions. В будущем ожидается реализация поддержки и для других внешних сервисов.
Сопровождающие пакеты могут на стороне PyPI выставить признак доверия идентификаторам, предоставляемым внешним провайдерам OpenID (IdP, OpenID Connect Identity Provider). Внешний сервис будет использовать их для запроса у PyPI токенов. Такие токены OpenID Connect подтверждают связь между проектом и обработчиком, что позволяет PyPI выполнять дополнительную верификацию метаданных, например, проверять, что публикуемый пакет соотносится с определённым репозиторием. Токены не сохраняются, привязаны к определённым API и автоматически прекращают действовать после короткого периода.
В марте специалисты по кибербезопасности из группы Kroll Cyber Threat Intelligence при мониторинге вредоносных PyPi-пакетов обнаружили несколько подозрительных файлов. Одним из них загружал на устройство жертвы новый троян Colour-Blind.
В ноябре 2022 года в каталоге PyPI обнаружили более 20 вредоносных пакетов, нацеленных на кражу криптовалюты. Они маскировались под популярные библиотеки.
В августе 2022 года некоторые пакеты PyPI оказались скомпрометированы из-за того, что разработчики попались на фишинговые письма. Фишинговая кампания была нацелена на тех, кто занимается поддержкой пакетов.
Всего с 2019 года число выявленных в PyPI вредоносных пакетов превысило 115 тысяч.
Источник новости: habr.com
