网络安全研究人员表示,他们发现了一个意外泄露的 GitHub 令牌,该令牌可能授予对 Python 语言的 GitHub 存储库、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。
发现 GitHub 个人访问令牌的 JFrog 表示,该密钥是在 Docker Hub 上托管的公共 Docker 容器中泄露的。
“这个案例很特殊,因为如果它落入坏人之手,很难高估潜在的后果——人们可能会将恶意代码注入 PyPI 包(想象一下用恶意包替换所有 Python 包),甚至注入 Python 语言本身,”软件供应链安全公司表示。
假设攻击者可以通过毒害与 Python 编程语言核心或 PyPI 包管理器相关的源代码来将其管理员访问权限武器化,以协调大规模供应链攻击。
JFrog 指出,身份验证令牌是在 Docker 容器中发现的,在一个编译的 Python 文件(“build.cpython-311.pyc”)中,该文件无意中没有清理。
在 2024 年 6 月 28 日负责任地披露后,该代币——为与 PyPI 管理员 Ee Durbin 关联的 GitHub 帐户发行——立即被撤销。没有证据表明这个秘密在野外被利用了。
PyPI 表示,该代币是在 2023 年 3 月 3 日之前的某个时间发行的,由于安全日志超过 90 天就不可用,确切日期尚不清楚。
“在本地开发 cabotage-app5 时,在代码库的构建部分工作时,我经常遇到 GitHub API 速率限制,”Durbin 解释道。
