You are currently viewing Kebocoran Token GitHub Membahayakan Repositori Inti Python

Kebocoran Token GitHub Membahayakan Repositori Inti Python

Para ahli keamanan siber baru-baru ini menemukan sebuah token GitHub yang bocor secara tidak sengaja. Token ini bisa memberikan akses berbahaya ke repositori GitHub untuk bahasa pemrograman Python, Python Package Index (PyPI), dan repositori Python Software Foundation (PSF).

Apa yang Terjadi?

Perusahaan keamanan JFrog menemukan bahwa Token Akses Pribadi GitHub tersebut bocor dalam sebuah kontainer Docker publik yang dihosting di Docker Hub.

Mengapa Ini Berbahaya?

Jika token ini jatuh ke tangan yang salah, seseorang bisa menyuntikkan kode berbahaya ke dalam paket PyPI atau bahkan ke bahasa Python itu sendiri. Ini bisa berdampak besar karena banyak pengembang yang menggunakan Python dan paket-paketnya. Bayangkan jika semua paket Python tiba-tiba terinfeksi kode berbahaya, hal ini bisa menimbulkan kerusakan besar.

Bagaimana Token Ini Bisa Bocor?

Token otentikasi tersebut ditemukan di dalam kontainer Docker, dalam file Python yang sudah dikompilasi (“build.cpython-311.pyc”). File ini secara tidak sengaja tidak dibersihkan, sehingga token tersebut tetap ada di dalamnya.

Tindakan yang Diambil

Setelah menemukan kebocoran ini pada tanggal 28 Juni 2024, JFrog segera melaporkannya. Token yang bocor, yang dikeluarkan untuk akun GitHub yang terkait dengan Admin PyPI Ee Durbin, langsung dicabut. Tidak ada bukti bahwa token ini telah dieksploitasi.

Kapan Token Ini Dikeluarkan?

PyPI menyatakan bahwa token tersebut dikeluarkan sebelum tanggal 3 Maret 2023, tetapi tanggal pastinya tidak diketahui karena log keamanan hanya tersedia selama 90 hari.

Mengapa Token Ini Digunakan?

Ee Durbin, admin PyPI, menjelaskan bahwa token tersebut digunakan untuk mengatasi batasan API GitHub saat mengembangkan aplikasi secara lokal. Ini adalah solusi sementara yang akhirnya tidak sengaja terdistribusi.

Temuan Lain

Selain masalah ini, perusahaan keamanan Checkmarx menemukan beberapa paket berbahaya di PyPI. Paket-paket ini dirancang untuk mencuri informasi sensitif dan mengirimkannya ke bot Telegram tanpa sepengetahuan pengguna.

Apa yang Dilakukan Paket-Paket Ini?

Paket berbahaya tersebut – seperti testbrojct2, proxyfullscraper, proxyalhttp, dan proxyfullscrapers – memindai sistem yang terinfeksi untuk mencari file dengan ekstensi tertentu (.py, .php, .zip, .png, .jpg, dan .jpeg) dan mengirim informasi ini ke bot Telegram yang terhubung dengan operasi kejahatan siber.

Kesimpulan

Insiden ini mengingatkan kita betapa pentingnya menjaga keamanan informasi dan selalu membersihkan kode sebelum dipublikasikan. Para pengembang juga harus waspada terhadap paket-paket berbahaya dan memastikan bahwa sistem mereka selalu terlindungi dengan baik.