La fuite du jeton GitHub a presque conduit à une attaque de la chaîne d'approvisionnement Python

Et si le langage de programmation Python lui-même était malveillant ? Ce serait l'attaque de chaîne d'approvisionnement la plus dévastatrice de l'histoire de l'humanité - mais elle a presque eu lieu

Un jeton GitHub important a été accidentellement divulgué, conduisant presque à l'attaque de chaîne d'approvisionnement la plus dévastatrice de l'histoire de l'humanité.

Découvert par des chercheurs en cybersécurité de JFrog, le jeton d'accès personnel GitHub a été trouvé dans un conteneur Docker public hébergé sur Docker Hub et a accordé un accès élevé aux référentiels GitHub du langage Python, Python Package Index (PyPI) et Python Software Foundation (PSF).

"Ce cas était exceptionnel car il est difficile de surestimer les conséquences potentielles s'il était tombé entre de mauvaises mains – on pourrait soi-disant injecter du code malveillant dans les packages PyPI (imaginez remplacer tous les packages Python par des malveillants), et même dans le langage Python lui-même. ", ont expliqué les chercheurs (s'ouvre dans un nouvel onglet) dans leur article.

Exposé pendant des mois

Le jeton a été trouvé dans un conteneur Docker dans un fichier Python compilé qui n'a pas été nettoyé par erreur, ont-ils ajouté.

Selon PyPI , le jeton a été émis avant le 3 mars 2023, mais la date exacte est impossible à déterminer puisque les journaux ne durent que 90 jours. L'administrateur PyPI, Ee Durbin, a été informé le 28 juin de cette année, après quoi le jeton a été révoqué.

Le Python Package Index (PyPI) est la première source mondiale de packages Python. La plate-forme open source est une plateforme centrale pour les développeurs souhaitant publier et partager leurs logiciels et bibliothèques Python avec la communauté. En tant que tel, il s'agit d'une cible extrêmement populaire pour les cybercriminels intéressés par les attaques sur la chaîne d'approvisionnement.

En introduisant des packages malveillants dans la plateforme (ou en empoisonnant ceux qui existent déjà), les cybercriminels peuvent compromettre des centaines d'organisations d'un seul coup.

Pour faire avancer les choses. Pire encore, de nombreuses entreprises du Fortune 100 utilisent PyPI dans leurs produits logiciels, notamment Google, Microsoft, Amazon et Apple.

Fin mars 2024, la plateforme a été contrainte de suspendre les nouveaux comptes et les nouveaux enregistrements de projets pour lutter contre une cyberattaque à grande échelle en 2024. quels acteurs malveillants ont tenté de télécharger des centaines de packages malveillants.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!