GitHub 토큰 유출로 인해 Python 공급망 공격이 발생할 뻔했습니다.

Python 프로그래밍 언어 자체가 악성이라면 어떻게 될까요? 인류 역사상 가장 파괴적인 공급망 공격이 될 뻔했지만 거의 일어날 뻔했습니다

중요한 GitHub 토큰이 실수로 유출되어 인류 역사상 가장 파괴적인 공급망 공격으로 이어질 뻔했습니다.

GitHub 개인 액세스 토큰인 JFrog는 Docker Hub에서 호스팅되는 공개 Docker 컨테이너에서 발견되었으며 Python 언어, Python 패키지 인덱스(PyPI) 및 Python Software Foundation(PSF)의 GitHub 리포지토리에 대한 높은 액세스 권한을 부여 받았습니다.

"이 사례는 잘못된 사람의 손에 넘어갈 경우 발생할 수 있는 결과를 과대평가하기 어렵기 때문에 예외적이었습니다. PyPI 패키지(모든 Python 패키지를 악성 패키지로 교체한다고 상상해 보세요)에 악성 코드를 삽입할 수도 있고 심지어 Python 언어 자체에도 삽입할 수도 있습니다. "라고 연구원들은 글에서 설명했습니다(새 탭에서 열림).

몇 달 동안 노출됨

토큰은 실수로 정리되지 않은 컴파일된 Python 파일의 Docker 컨테이너 내부에서 발견되었다고 덧붙였습니다.

PyPI에 따르면 , 토큰은 2023년 3월 3일 이전에 발행되었지만 로그는 90일 동안만 지속되므로 정확한 날짜를 확인하는 것이 불가능합니다. PyPI 관리자 Ee Durbin은 올해 6월 28일에 알림을 받은 후 토큰이 취소되었습니다.

PyPI(Python Package Index)는 Python 패키지에 대한 세계 최고의 소스입니다. 오픈 소스 플랫폼은 Python 소프트웨어와 라이브러리를 게시하고 커뮤니티와 공유하려는 개발자를 위한 중앙 허브입니다. 따라서 공급망 공격에 관심이 있는 사이버 범죄자들에게 매우 인기 있는 표적입니다.

악성 패키지를 플랫폼에 몰래 삽입하거나 기존 패키지를 중독시킴으로써 사이버 범죄자는 단번에 수백 개의 조직을 손상시킬 수 있습니다.

문제를 해결하려면 더 나쁜 것은 많은 Fortune 100대 기업이 Google, Microsoft, Amazon 및 Apple을 포함한 소프트웨어 제품에 PyPI를 사용하고 있다는 것입니다.

2024년 3월 말, 플랫폼은 대규모 사이버 공격에 대응하기 위해 신규 계정 및 신규 프로젝트 등록을 일시 중단해야 했습니다. 위협 행위자가 수백 개의 악성 패키지를 업로드하려고 시도했습니다.

위 내용은 GitHub 토큰 유출로 인해 Python 공급망 공격이 발생할 뻔했습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!