GitHub トークンの漏洩により、Python サプライ チェーン攻撃が引き起こされるところだった

Python プログラミング言語自体に悪意がある場合はどうなりますか?それは人類史上最も壊滅的なサプライチェーン攻撃となるでしょう - しかし、それはもう少しで起こりました

重要な GitHub トークンが誤って漏洩し、人類史上最も壊滅的なサプライ チェーン攻撃につながる寸前でした。

のサイバーセキュリティ研究者によって発見されました。 GitHub Personal Access Token である JFrog は、Docker Hub でホストされているパブリック Docker コンテナーで見つかり、Python 言語、Python Package Index (PyPI)、Python Software Foundation (PSF) の GitHub リポジトリへの昇格されたアクセスが許可されました。

「このケースは例外的でした。なぜなら、それが悪者の手に渡った場合の潜在的な結果を過大評価するのは難しいからです。PyPI パッケージ (すべての Python パッケージを悪意のあるものに置き換えることを想像してください) に、さらには Python 言語自体に悪意のあるコードが注入される可能性があります。」 」と研究者らは論文で説明した (新しいタブで開きます)。

数か月間公開された

トークンは、誤ってクリーンアップされなかったコンパイル済み Python ファイル内の Docker コンテナ内で発見された、と彼らは付け加えました。

PyPI によると、トークンは 2023 年 3 月 3 日より前に発行されましたが、ログは 90 日間しか持続しないため、正確な日付を特定することは不可能です。 PyPI 管理者の Ee Durbin は今年 6 月 28 日に通知を受け、その後トークンは取り消されました。

Python Package Index (PyPI) は、Python パッケージの世界ナンバーワンのソースです。オープンソース プラットフォームは、Python ソフトウェアとライブラリを公開してコミュニティと共有したいと考えている開発者にとっての中心ハブです。そのため、サプライ チェーン攻撃に興味のあるサイバー犯罪者にとって、これは非常に人気のあるターゲットです。

悪意のあるパッケージをプラットフォームに忍び込ませる (または既存のパッケージを汚染する) ことで、サイバー犯罪者は数百もの組織を一度に侵害することができます。さらに悪いことに、Google、Microsoft、Amazon、Apple など、フォーチュン 100 企業の多くが自社のソフトウェア製品で PyPI を使用しています

2024 年 3 月下旬、プラットフォームは、大規模なサイバー攻撃に対処するために、新規アカウントと新規プロジェクトの登録を一時停止することを余儀なくされました。どの脅威アクターが何百もの悪意のあるパッケージをアップロードしようとしたか。

以上がGitHub トークンの漏洩により、Python サプライ チェーン攻撃が引き起こされるところだったの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。