Das GitHub-Token-Leck hätte beinahe zu einem Angriff auf die Python-Lieferkette geführt

Was wäre, wenn die Programmiersprache Python selbst bösartig wäre? Es wäre der verheerendste Supply-Chain-Angriff in der Geschichte der Menschheit – aber es wäre fast passiert

Ein wichtiger GitHub-Token wurde versehentlich durchgesickert, was fast zum verheerendsten Supply-Chain-Angriff in der Geschichte der Menschheit geführt hätte.

Entdeckt von Cybersicherheitsforschern von JFrog, das GitHub Personal Access Token, wurde in einem öffentlichen Docker-Container gefunden, der auf Docker Hub gehostet wird, und gewährte erhöhten Zugriff auf die GitHub-Repositorys der Python-Sprache, Python Package Index (PyPI) und die Python Software Foundation (PSF).

„Dieser Fall war außergewöhnlich, denn es ist schwierig, die möglichen Konsequenzen zu überschätzen, wenn er in die falschen Hände geraten wäre – man könnte angeblich bösartigen Code in PyPI-Pakete einschleusen (stellen Sie sich vor, alle Python-Pakete durch bösartige zu ersetzen) und sogar in die Python-Sprache selbst „, erklärten die Forscher (öffnet in neuem Tab) in ihrem Artikel.

Monatelang offengelegt

Der Token wurde in einem Docker-Container in einer kompilierten Python-Datei gefunden, die fälschlicherweise nicht bereinigt wurde, fügten sie hinzu.

Laut PyPI , der Token wurde vor dem 3. März 2023 ausgegeben, das genaue Datum lässt sich jedoch nicht ermitteln, da die Protokolle nur 90 Tage gültig sind. PyPI-Administrator Ee Durbin wurde am 28. Juni dieses Jahres benachrichtigt, woraufhin das Token widerrufen wurde.

Der Python Package Index (PyPI) ist die weltweit führende Quelle für Python-Pakete. Die Open-Source-Plattform ist eine zentrale Anlaufstelle für Entwickler, die ihre Python-Software und -Bibliotheken veröffentlichen und mit der Community teilen möchten. Daher ist es ein äußerst beliebtes Ziel für Cyberkriminelle, die an Angriffen auf die Lieferkette interessiert sind.

Durch das Einschleusen schädlicher Pakete in die Plattform (oder das Vergiften vorhandener Pakete) können Cyberkriminelle auf einen Schlag Hunderte von Organisationen kompromittieren.

Zur Klarstellung Schlimmer noch, viele Fortune-100-Unternehmen verwenden PyPI in ihren Softwareprodukten, darunter Google, Microsoft, Amazon und Apple.

Ende März 2024 musste die Plattform die Registrierung neuer Konten und neuer Projekte aussetzen, um einen groß angelegten Cyberangriff zu bekämpfen welche Bedrohungsakteure versucht haben, Hunderte von Schadpaketen hochzuladen.

Das obige ist der detaillierte Inhalt vonDas GitHub-Token-Leck hätte beinahe zu einem Angriff auf die Python-Lieferkette geführt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!