首页 > 传媒 > 关键词  > 安全事件最新资讯  > 正文

二进制密钥扫描实现预警守护,阻击潜在供应链重大安全隐患

2024-08-16 10:55 · 稿源: 站长之家用户

作者:Yoav Landman,JFrog联合创始人兼首席技术官、Shachar Menashe, JFrog安全研究高档总监

JFrog安全研究团队近期发现并报告了一起严重的安全事件,一个具有管理员权限的访问令牌Docker Hub上托管的某个公共Docker容器中意外泄露,该令牌可访问Python、PyPI及Python软件基金会(PSF)的GitHub仓库。

作为一项针对线上社区的服务,JFrog安全研究团队持续扫描Docker Hub、NPM和PyPI等公共仓库,旨在识别恶意软件包和泄露的密钥。一旦发现潜在威胁,团队会立即通知相关维护人员,确保漏洞在攻击者对其进行利用之前便得到修复。尽管JFrog团队以往已多次检测到相似方式泄露密钥的安全隐患,但由于此次事件潜在后果影响广泛,因此尤为严重——假设攻击者将恶意代码注入PyPI软件包,或者将所有Python包替换为恶意软件包,这将可能影响到Python语言本身!

JFrog安全研究团队迅速锁定泄露的密钥,并即刻向PyPI安全团队报告,PyPI安全团队仅在短短17分钟内便撤销了该令牌,有效遏制了潜在安全危机。

如今,Python编程语言被广泛应用于绝大多数的数字系统中,包括:

l YouTube、Instagram、Facebook、Reddit、Pinterest以及其他各类社交媒体网站

l 所有机器学习和人工智能程序

l 金融支付系统,如Venmo、Zelle以及摩根大通和高盛等银行的内部操作系统

我们将深入剖析JFrog是如何发现并阻止一起可能危及整个Python基础设施的GitHub个人访问令牌(PAT)泄露事件,同时借此案例强调在密钥检测中“右移”策略的重要性,该策略保证了不仅在源代码中查找密钥,还将在二进制文件和生产制品中加强防范。

我们发现了什么

我们的密钥扫描引擎在Docker Hub上的一个公共仓库中检测到了一个“传统”的GitHub令牌。与更新的细粒度令牌不同,传统GitHub令牌的风险在于,它们授予用户访问所有仓库相似的权限。

在本次的案例中,该事件主角拥有对Python核心基础设施仓库(包括PSF、PyPI、Python语言及CPython)的管理员权限。

可能引发的后果

如果有他人发现了这一泄露的令牌,将造成后果极其严重的安全隐患。该令牌的持有者将拥有访问所有Python、PyPI和Python软件基金会存储库的管理员权限,并可能借此实施大规模的供应链攻击。

如果出现这一情况,可能会发生各种形式的供应链攻击。其中一种可能的攻击方式是,攻击者将恶意代码藏匿于CPython中,该组件包含Python语言的核心库,由C语言编写。鉴于Python的广泛应用,恶意代码一旦混入Python分发版,其潜在影响将波及全球数以千万计的计算机。

另一种可能遭受攻击的场景是,向PyPI的Warehouse代码中渗透恶意代码,该代码用于管理PyPI包管理器。如果攻击者通过插入代码获得通往PyPI存储的后门的权限,他们将随意操纵热门PyPI包,并且在其中隐藏恶意代码或用恶意代码完全替换原有内容。尽管这一攻击方式并不十分高明,但其危害性不可小觑。

为什么该令牌仅在二进制文件中找到?

在Docker容器内的一个编译后的Python文件——__pycache__/build.cpython-311.pyc中发现了身份验证令牌:

然而,在匹配的源代码文件中,该令牌并未包含在相同功能的部分当中。

这就意味着原作者:

1. 曾经短暂地将授权令牌添加到了他们的源代码中,并运行了源代码

2. 这项被运行的源代码(Python脚本) 是带有授权令牌的 .pyc二进制文件

3. 尽管原作者从源代码中删除了授权令牌,但没有同步清理 .pyc

4. 将修正版本的源代码和未修正的 .pyc二进制文件都推送到了Docker镜像中

例如,以下是反编译的build.cpython-311.pyc文件与Docker容器中实际源代码的比较:

从二进制文件“build.cpython-311.pyc”中重构的源代码

Docker容器中匹配文件的实际源代码

可以发现,尽管从.pyc缓存文件中反编译的代码与原始代码相似,但其含有了一个包含有效GitHub令牌的授权数据头。

仅在源代码中扫描密钥是不够的

此事件警醒我们,为了预防类似的安全隐患,虽然与基于文本的文件相比,在二进制文件中搜索泄露的机密信息更为困难,但是很多情况下关键数据只存在于二进制数据当中,因此对发布的Docker镜像中的源代码和二进制数据进行全面审核将成为理想的解决方案。

PyPI的快速响应

在本次事件报告中,我们由衷感谢PyPI安全团队的迅速响应。

面对难以规避的泄露风险,企业和相关组织应以最快速度采取行动,评估并减轻潜在损害。

在此次事件中,在发现令牌后,JFrog立即将这一情况通知了PyPI的安全团队和令牌的所有者。PyPI的安全团队迅速响应,仅在17分钟后就做出回应,撤销了这一具有安全隐患的令牌。与此同时,PyPI进行了全面的检查,确认该令牌尚未涉及任何具有安全威胁的可疑活动。

我们可以从密钥检测中汲取哪些经验?

从此次事件中,我们汲取了宝贵经验:

1. 在源代码和文本文件中扫描密钥已经不足以排除安全隐患。现代集成开发环境(IDE)和开发工具虽然可以有效地在源代码中检测密钥并防止其泄露,但它们的范围限制于代码,却往往忽略由构建和打包工具生成的二进制制品。我们在开源注册表中遇到的大多数密钥都位于环境、配置和二进制文件中。

2. 用新的令牌替换老式的GitHub令牌以实现更好的可见性。最初,GitHub 使用的是十六进制编码的40个字符的令牌字符串,与 SHA1哈希字符串无异,大多数密钥扫描工具都无法捕捉到这种字符串。2021年,GitHub改用了一种新的令牌格式,该更新并未强制要求所有用户重新生成他们的令牌。新格式的令牌包含可识别的前缀 ghp_,同时还嵌入了校验和,允许密钥检测工具能更轻松、更准确地识别它们。

3. 您的令牌只能访问使用它的应用程序所需的资源。将令牌权限设置为比较大并非明智决定。两年前,GitHub引入了新的细粒度令牌。与传统令牌不同,它们允许用户选择个人访问令牌可用的权限和仓库,并将其范围限制为相应任务所需的最小范围。我们强烈建议使用此功能,从而较大程度避免类似于对整个基础设施具有最终访问权限的令牌在一个辅助项目或临时的“hello-world”应用程序中被泄露的情况。

JFrog Secrets Detection – 二进制优势

即使关键令牌被泄露在一个编译后的Python二进制文件(.pyc)中,JFrog的密钥检测引擎依然能够将其识别。我们能够检测到泄露的令牌主要得益于两个重要原因:

1. JFrog Secrets Detection在开发人员的IDE内部实现左移运行,也可以在已部署的Docker容器内部进行右移运行。

2. JFrog Secrets Detection能够实现在文本文件和二进制文件中搜索泄露的密钥,实现全方位的保护。

JFrog的检测基于JFrog Xray针对配置文件、文本文件和二进制文件进行扫描,查找纯文本凭据、私钥、令牌和类似的密钥信息。通过利用持续更新且拥有超过150种特定类型证书列表,以及专有的通用密钥匹配器,JFrog将尽可能的在扫描过程中实现理想的文件覆盖范围。

###

关于JFrog

JFrog Ltd.(纳斯达克股票代码:FROG)的使命是创造一个从开发人员到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念,JFrog软件供应链平台是统一的记录系统,帮助企业快速安全地构建、管理和分发软件,确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog 的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7200多名客户,包括大多数财富100强企业,依靠JFrog解决方案安全地开展数字化转型。一用便知!如欲了解更多信息,请访问官网或者关注我们的微信官方账号。

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • Anon:AI助手,隐私保护

    Anon是一个注重隐私的AI助手,类似于ChatGPT,但默认提供隐私保护。它允许用户在不登录、无追踪的情况下自由使用,所有对话都保留在本地设备上。Anon由先进的技术如Llama 3.1 405B和FLUX提供支持,旨在为用户提供一个安全、私密的AI对话环境。

  • PodcastWorld:AI驱动的播客对话搜索引擎

    PodcastWorld是一个利用人工智能技术,通过分析数百万播客对话来帮助用户找到所需答案的搜索引擎。用户可以询问问题,并直接收听播客中回答该问题的确切片段。这个平台不仅提供了一个与播客内容互动的新方式,还通过聊天功能,使用户能够与播客创作者进行更深入的交流。PodcastWorld通过提供播客摘要、音频片段和完整的对话记录,满足了用户对信息获取和知识分享的需求。

  • Chat with your Database:与数据库对话,用自然语言查询数据。

    Chat with your Database 是一个创新的数据库交互工具,它允许用户通过自然语言与Postgres数据库进行交互。利用AI技术,用户可以轻松地查询、分析和操作数据库,而无需编写复杂的SQL代码。该产品支持开源,鼓励社区参与开发和贡献,代码在GitHub上公开,用户可以自由探索、贡献或定制以满足特定需求。

  • AI Comic Factory.ai:在线AI漫画生成器,快速将创意转化为漫画故事。

    AI Comic Factory是一个创新的在线平台,旨在帮助用户轻松创建独特的漫画。用户可以通过输入描述性的提示或上传图片来生成各种风格的漫画,包括角色、场景和对话的选项。该平台提供定制选项,如版式布局、角色设计和对话生成,以增强漫画的视觉效果。凭借用户友好的步骤和可调设置,实现高质量的结果变得简单。无论是个人娱乐还是创意项目,AI Comic Factory都使得漫画创作过程变得高效且愉快。

  • AutoArena:自动化的生成式AI评估平台

    AutoArena是一个自动化的生成式AI评估平台,专注于评估大型语言模型(LLMs)、检索增强生成(RAG)系统和生成式AI应用。它通过自动化的头对头判断来提供可信的评估,帮助用户快速、准确、经济地找到系统的最佳版本。该平台支持使用来自不同供应商的判断模型,如OpenAI、Anthropic等,也可以使用本地运行的开源权重判断模型。AutoArena还提供了Elo评分和置信区间计算,帮助用户将多次头对头投票转化为排行榜排名。此外,AutoArena支持自定义判断模型的微调,以实现更准确、特定领域的评估,并可以集成到持续集成(CI)流程中,以自动化评估生成式AI系统。

  • GodmodeHQ:销售和市场营销AI,自动增长您的业务。

    GodmodeHQ是一个AI驱动的销售和市场营销平台,旨在通过自动化的方式帮助企业提高销售效率和市场覆盖。它通过集成多个B2B数据库,利用自然语言处理技术,帮助用户寻找和验证潜在客户,生成个性化的营销信息,并管理整个销售流程。产品的主要优点包括节省时间、提高销售团队的工作效率、以及通过个性化的营销信息提高转化率。GodmodeHQ的背景信息显示,它是由一群对销售和市场营销有深刻理解的团队开发的,旨在解决传统销售过程中的痛点,如寻找潜在客户、客户资格审查、个性化营销等。产品的价格策略是免费试用,之后根据功能的不同,提供不同的付费套餐。

  • Echo:使用AI整理和提炼你的想法的语音和文本笔记应用

    Echo是一款结合了人工智能技术的语音和文本笔记应用,它通过AI技术帮助用户组织和提炼思考。Echo利用GPT-4o大型语言模型进行转录、回忆和洞察力生成,能够准确转录用户的语音输入,并根据用户过去的想法提供有意义的答案,使日记体验更具互动性和吸引力。该产品注重隐私和安全性,笔记加密,不查看用户数据,也不使用数据训练AI,遵循行业最佳实践进行数据保护。目前Echo处于免费测试阶段,未来计划引入高级功能。

  • JobJump:个性化AI面试助手,助你在面试中脱颖而出。

    JobJump - AI Interview Copilot是一款专为求职者设计的Chrome插件,它通过人工智能技术提供个性化的面试辅导。这款插件能够识别面试官的问题,并即时生成定制化的答案提示,帮助用户更自信地回答问题。它支持50多种面试语言,并针对200多个行业和角色进行了定制化。JobJump插件易于安装和使用,用户可以通过Google账号注册并免费开始使用。它适用于多种在线面试平台,能够帮助用户在面试中更好地展示自己,提高获得理想工作的机会。

  • Coverr AI Workflows:利用AI技术提升视频创作效率

    Coverr AI Workflows是一个专注于AI视频生成的平台,提供多种AI工具和工作流程,帮助用户通过简单的步骤生成高质量的视频内容。该平台汇集了AI视频专家的智慧,通过社区分享的workflows,用户可以学习如何使用不同的AI工具来创作视频。Coverr AI Workflows的背景是基于人工智能技术在视频制作领域的应用日益广泛,它通过提供易于理解和操作的工作流程,降低了视频创作的技术门槛,使得非专业人士也能创作出专业级别的视频内容。Coverr AI Workflows目前提供免费的视频和音乐资源,定位于满足创意工作者和小型企业的视频制作需求。

  • Emploio:AI驱动的员工成长平台

    Emploio是一个利用人工智能技术来支持个人成长、增强职业发展,并培养一个充满活力的工作场所文化的平台。它通过提供AI驱动的洞察力来最大化团队潜力,帮助企业跟踪员工成长和团队表现,分享跨部门的洞察力,并构建完美的团队。此外,Emploio还提供一对一的协助,确保每个团队成员都能获得成功所需的指导。它还可以与日常使用的工具集成,优化生产力,并通过统一的仪表板与团队保持联系。

  • Handinger:从互联网提取数据的简单且经济的方式

    Handinger是一个提供数据提取服务的网站,它允许用户通过HTTP端点轻松提取网页内容,包括Markdown、截图、元数据和HTML等格式。这种服务对于训练大型语言模型、存储内容或获取网页特定内容非常有用。Handinger的价格非常低廉,每URL的成本仅为0.0005美元,且每月前2000个URL免费,没有前期成本,也无需复杂的API积分。该服务支持所有类型的网站,并且为用户提供了慷慨的速率限制,每分钟可进行1000次请求。

  • 笔灵AI小说生成器:智能AI辅助小说创作工具

    AI小说生成器是一个专为小说创作者设计的智能AI辅助工具,它通过提供各种写作模板、灵感词库、人物设定、剧情生成等功能,帮助作者快速构思和创作小说。该产品背景信息显示,它由上海简办网络科技有限公司开发,旨在解决作者在创作过程中遇到的灵感枯竭、写作效率低下等问题。产品的主要优点包括丰富的写作模板、AI智能生成和改写功能、以及对不同小说类型的全面支持。价格方面,产品提供终身会员服务,每月只需极低的费用,性价比极高。

  • Swarm:多智能体系统构建、编排和部署框架

    Swarm是由OpenAI Solutions团队管理的实验性框架,旨在构建、编排和部署多智能体系统。它通过定义智能体(Agent)和交接(handoffs)的抽象概念,实现了智能体之间的协调和执行。Swarm框架强调轻量级、高可控性和易于测试,适用于需要大量独立功能和指令的场景,允许开发者拥有完全的透明度和对上下文、步骤和工具调用的细粒度控制。Swarm框架目前处于实验阶段,不推荐在生产环境中使用。

  • AI Hairstyle:AI驱动的发型变换和发色更换工具

    AI 发型是一个在线平台,利用人工智能技术为用户提供个性化的发型和发色更换体验。用户可以通过上传自己的照片,尝试不同的发型和颜色,无需实际剪发或染发即可预览效果。该平台的AI技术能够分析用户的面部特征,推荐最适合的发型和颜色,帮助用户在做出实际改变前做出更明智的决定。AI 发型的主要优点包括:个性化推荐、真实预览效果、云端存储生成的图片、用户友好的界面以及多种发型和颜色选择。产品背景信息显示,AI 发型已经拥有超过10K+用户和2M+生成的发型数量,显示了其受欢迎程度。价格方面,AI 发型提供免费计划,同时也提供不同级别的付费计划,以满足不同用户的需求。

  • Enjoy App:AI辅助的英语学习应用,专注发音训练和记忆提升。

    Enjoy App是一款专注于英语学习的应用程序,它通过AI技术帮助用户纠正发音,提供学习记录跟踪,并利用丰富的在线素材进行语言学习。该应用提倡直接上手学习,忽略繁琐的方法论,旨在通过1000小时的专注训练帮助用户掌握英语技能。它支持音频和视频的可视化跟读,AI自然对话,以及记忆增强系统,是学习英语的有力工具。Enjoy App的价格策略是按使用功能计费,新用户有初期余额,之后可以通过充值享受更多服务。

  • AI视频生成神器:利用AI技术快速生成视频内容

    AI视频生成神器是一款利用人工智能技术,将图片或文字转换成视频内容的在线工具。它通过深度学习算法,能够理解图片和文字的含义,自动生成具有吸引力的视频内容。这种技术的应用,极大地降低了视频制作的成本和门槛,使得普通用户也能轻松制作出专业级别的视频。产品背景信息显示,随着社交媒体和视频平台的兴起,用户对视频内容的需求日益增长,而传统的视频制作方式成本高、耗时长,难以满足快速变化的市场需求。AI视频生成神器的出现,正好填补了这一市场空白,为用户提供了一种快速、低成本的视频制作解决方案。目前,该产品提供免费试用,具体价格需要在网站上查询。

  • AI答案生成器:免费无需注册的智能问答系统,为营销人员提供AI驱动的洞察和解决方案。

    AI答案生成器是一个专为营销人员设计的智能问答系统,它利用先进的人工智能技术,为用户提供关于数字营销趋势和策略的最新信息。该产品的主要优点包括免费使用、无需注册、用户友好界面、精确的语言模型、独特和创意的答案以及节省时间的解决方案。它适用于SEO优化、社交媒体内容规划、电子邮件营销等多种营销需求,帮助用户提高工作效率,快速生成营销策略和内容创意。

  • 派欧算力云:AI云端一体化解决方案,提供模型API、Serverless和GPU租赁服务。

    派欧算力云是一个一站式AIGC云服务平台,提供高性价比的GPU基础设施和无缝集成的最前沿AI推理技术。它全面覆盖不同业务阶段的AI需求,加速业务发展。派欧算力云的主要优点包括:高性能的云服务产品、无需管理和运维GPU基础设施、自动弹性扩缩容、全球覆盖的GPU容器实例、7X24小时客户服务。产品背景信息显示,派欧算力云旨在为AI应用开发者提供强大的算力支持,降低开发成本,提高开发效率。

  • FLUX.1-dev-LoRA-One-Click-Creative-Template:一键式创意图像生成模型

    FLUX.1-dev-LoRA-One-Click-Creative-Template 是一个基于 LoRA 训练的图像生成模型,由 Shakker-Labs 提供。该模型专注于创意照片生成,能够将用户的文本提示转化为具有创意性的图像。模型使用了先进的文本到图像的生成技术,特别适合需要快速生成高质量图像的用户。它是基于 Hugging Face 平台,可以方便地进行部署和使用。模型的非商业使用是免费的,但商业使用需要遵守相应的许可协议。

  • rag-chatbot:一个可以本地与多个PDF文件进行对话的聊天机器人。

    rag-chatbot是一个基于人工智能技术的聊天机器人模型,它能够让用户通过自然语言与多个PDF文件进行交互。该模型使用了最新的机器学习技术,如Huggingface和Ollama,来实现对PDF内容的理解和回答生成。它的重要性在于能够处理大量文档信息,为用户提供快速、准确的问答服务。产品背景信息表明,这是一个开源项目,旨在通过技术创新提升文档处理的效率。目前该项目是免费的,主要面向开发者和技术爱好者。

今日大家都在搜的词:

热文

  • 3 天
  • 7天