IT之家7 月 16 日报道,网络安全专家发现一个意外泄露的 GitHub 令牌,该令牌可以以最高权限访问 Python 语言、Python 包索引(PyPI)和 Python 软件基金会(PSF)存储库。
网络安全公司 JFrog 表示,GitHub 私有访问令牌托管在 Docker Hub 上的公共 Docker 容器中。IT Home 附上一篇博文,内容如下:
这起安全案件十分特殊,如果代币落入不法分子手中,其潜在破坏力不可小觑,例如攻击者可以向 PyPI 包中注入恶意代码(进而升级所有 Python 包以替换恶意软件),甚至可以向 Python 语言本身注入恶意代码。
JFrog 在一个公共 Docker 容器中编译后的 Python 文件(“build.cpython-311.pyc”)中发现了身份验证令牌,该文件是在 2023 年 3 月 3 日之前创建的。由于安全日志在 90 天后过期,因此具体创建日期目前未知。
JFrog 于 2024 年 6 月 28 日披露该代币后,相关代币随即被撤销,且没有证据表明该代币被黑客使用。
广告声明:文章内所含外部跳转链接(包括但不限于超链接、二维码、密码等)是为了传递更多信息、节省选择时间,结果仅供参考,IT之家所有文章均含有此声明。
评论(0)