GitHub 令牌泄漏可能会使整个 Python 语言处于危险之中
[复制链接]
如果 Python 编程语言本身是恶意的怎么办?这将是人类历史上最具破坏性的供应链攻击——但它几乎发生在一个重要的 GitHub 代币意外泄露之后。
JFrog 的网络安全研究人员最近在 Docker Hub 上托管的公共 Docker 容器中发现了一个 GitHub 个人访问令牌,该令牌授予了对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 的 GitHub 存储库的提升访问权限。
研究人员在他们的文章中说:“这种情况很特殊,因为如果它落入坏人之手,很难高估潜在的后果——人们可能会将恶意代码注入PyPI包(想象一下用恶意包替换所有Python包),甚至注入Python语言本身。”
暴露数月
他们补充说,他们在已编译的 Python 文件中的 Docker 容器中发现了令牌,该文件被错误地未清理。
根据 PyPI 的说法,该令牌是在 2023 年 3 月 3 日之前发布的,但由于日志仅持续 90 天,因此无法确定确切日期。PyPI 管理员 Ee Durbin 于今年 6 月 28 日接到通知,之后令牌被撤销。
Python 包索引 (PyPI) 是全球排名第一的 Python 包源。对于希望发布和与社区共享其 Python 软件和库的开发人员来说,开源平台是一个中心枢纽。因此,对于对供应链攻击感兴趣的网络犯罪分子来说,它是一个非常受欢迎的目标。通过将恶意包裹潜入平台(或毒害现有包裹),网络犯罪分子可以一举入侵数百个组织。
更糟糕的是,许多财富 100 强公司在其软件产品中使用 PyPI,包括 Google、Microsoft、Amazon 和 Apple。
https://www.techradar.com/pro/security/github-token-leak-could-have-put-the-entire-python-language-at-risk
| 
提升卡
变色卡
千斤顶
1/9 
京公网安备 11010802033920号
Copyright © 2005-2025 EEWORLD.com.cn, Inc. All rights reserved
