Python 的 GitHub 核心资源库 token 意外曝光

it之家 7 月 16 日消息,网络安全专家发现了意外泄露的 github token,能以最高权限访问 python 语言、python 软件包索引(pypi)和 python 软件基金会(psf)存储库。

网络安全公司 jfrog 表示该 github 私有访问 token 托管在 docker hub 上的公有 docker 容器中,it之家附上博文相关内容如下:

这起安全案例非常特殊,如果该 token 落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入 pypi 软件包(再升级所有 python 软件包替换为恶意软件),甚至可以在 python 语言本身中注入恶意代码。

jfrog 在公开 docker 容器的一个编译 python 文件(“build.cpython-311.pyc”)中发现该认证 token,于 2023 年 3 月 3 日前创建,由于安全日志在 90 天之后已失效,目前尚不清楚具体创建日期。

jfrog 于 2024 年 6 月 28 日披露该 token 之后,相关 token 立即被撤销,没有证据表明该 token 有被黑客利用。