it之家 7 月 16 日消息,網路安全專家發現了意外泄露的 github token,能以最高許可權訪問 python 語言、python 軟體包索引(pypi)和 python 軟體基金會(psf)存儲庫。
網路安全公司 jfrog 表示該 github 私有訪問 token 託管在 docker hub 上的公有 docker 容器中,it之家附上博文相關內容如下:
這起安全案例非常特殊,如果該 token 落入不法分子之手,其潛在破壞力再怎麼形容都不為過,例如攻擊者可以將惡意代碼注入 pypi 軟體包(再升級所有 python 軟體包替換為惡意軟體),甚至可以在 python 語言本身中注入惡意代碼。
jfrog 在公開 docker 容器的一個編譯 python 文件(「build.cpython-311.pyc」)中發現該認證 token,於 2023 年 3 月 3 日前創建,由於安全日誌在 90 天之後已失效,目前尚不清楚具體創建日期。
jfrog 於 2024 年 6 月 28 日披露該 token 之後,相關 token 立即被撤銷,沒有證據表明該 token 有被黑客利用。
