GitHub 代币泄露险些引发 Python 供应链攻击

如果 Python 编程语言本身是恶意的怎么办？这将是人类历史上最具破坏性的供应链攻击 - 但它差一点就发生了

一个重要的 GitHub 代币被意外泄露，几乎导致了人类历史上最具破坏性的供应链攻击人类历史。

由 JFrog 的网络安全研究人员发现，在 Docker Hub 上托管的公共 Docker 容器中发现了 GitHub 个人访问令牌，并授予对 Python 语言、Python 包索引的 GitHub 存储库的提升访问权限（ PyPI）和 Python 软件基金会（PSF）。

“这种情况很特殊，因为很难高估如果它落入坏人之手的潜在后果 - 人们可能会将恶意代码注入到 PyPI 包中（想象一下用恶意包替换所有 Python 包），甚至是 Python 语言本身，”研究人员在他们的文章中解释道（在新选项卡中打开）。

暴露数月

令牌他们补充说，在已编译的 Python 文件中的 Docker 容器中发现了该文件，该文件被错误地未清理。

根据 PyPI，该令牌是在 2023 年 3 月 3 日之前发行的，但确切的日期无法确定，因为日志只能保存 90 天。 PyPI 管理员 Ee Durbin 于今年 6 月 28 日收到通知，之后令牌被撤销。

Python 包索引 (PyPI) 是世界第一的 Python 包来源。该开源平台是希望与社区发布和共享 Python 软件和库的开发人员的中心枢纽。因此，对于对供应链攻击感兴趣的网络犯罪分子来说，它是一个非常受欢迎的目标。

通过将恶意软件包潜入平台（或毒害现有软件包），网络犯罪分子可以一举攻破数百个组织。

更糟糕的是，许多财富 100 强公司在其软件产品中使用 PyPI，包括 Google、微软、亚马逊和苹果。

2024 年 3 月下旬，该平台被迫暂停新帐户以及新项目注册，以应对大规模网络攻击，其中威胁行为者试图上传数百个恶意软件包。

以上是GitHub 代币泄露险些引发 Python 供应链攻击的详细内容。更多信息请关注PHP中文网其他相关文章！