Kebocoran token GitHub hampir membawa kepada serangan rantaian bekalan Python
- PHPzasal
- 2024-07-18 20:56:34340semak imbas
Bagaimana jika bahasa pengaturcaraan Python itu sendiri berniat jahat? Ia akan menjadi serangan rantaian bekalan yang paling dahsyat dalam sejarah manusia - tetapi ia hampir berlaku
Satu token GitHub yang penting telah dibocorkan secara tidak sengaja, hampir membawa kepada serangan rantaian bekalan yang paling dahsyat dalam sejarah manusia.
Ditemui oleh penyelidik keselamatan siber dari JFrog, Token Akses Peribadi GitHub ditemui dalam bekas Docker awam yang dihoskan di Docker Hub dan memberikan akses tinggi kepada repositori GitHub bahasa Python, Python Package Index (PyPI) dan Python Software Foundation (PSF).
"Kes ini luar biasa kerana sukar untuk menilai terlalu tinggi kemungkinan akibat jika ia telah jatuh ke tangan yang salah - seseorang kononnya boleh menyuntik kod berniat jahat ke dalam pakej PyPI (bayangkan menggantikan semua pakej Python dengan yang berniat jahat), dan juga kepada bahasa Python itu sendiri ," para penyelidik menjelaskan (dibuka dalam tab baharu) dalam penulisan mereka.
Didedahkan selama berbulan-bulan
Token itu ditemui di dalam bekas Docker dalam fail Python terkumpul yang tidak dibersihkan secara salah, tambah mereka.
Menurut PyPI , token telah dikeluarkan sebelum 3 Mac 2023, tetapi tarikh yang tepat adalah mustahil untuk ditentukan kerana log hanya bertahan selama 90 hari. Pentadbir PyPI Ee Durbin telah dimaklumkan pada 28 Jun tahun ini, selepas itu token tersebut telah dibatalkan.
Indeks Pakej Python (PyPI) ialah sumber nombor satu dunia untuk pakej Python. Platform sumber terbuka ialah hab pusat untuk pembangun yang ingin menerbitkan dan berkongsi perisian dan perpustakaan Python mereka dengan komuniti. Oleh itu, ia adalah sasaran yang sangat popular untuk penjenayah siber yang berminat dengan serangan rantaian bekalan.
Dengan menyelinap pakej berniat jahat ke dalam platform (atau meracuni yang sedia ada), penjenayah siber boleh menjejaskan beratus-ratus organisasi dalam satu masa.
Untuk menyelesaikan masalah. lebih teruk, banyak syarikat Fortune 100 menggunakan PyPI dalam produk perisian mereka, termasuk Google, Microsoft, Amazon dan Apple.
Pada akhir Mac 2024, platform itu terpaksa menggantung akaun baharu dan pendaftaran projek baharu untuk menangani serangan siber berskala besar di yang mana pelakon ancaman cuba memuat naik ratusan pakej berniat jahat.
Atas ialah kandungan terperinci Kebocoran token GitHub hampir membawa kepada serangan rantaian bekalan Python. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!