设置
  • 日夜间
    随系统
    浅色
    深色
  • 主题色

有被黑客完全掌控风险,Python 的 GitHub 核心资源库 token 意外曝光

2024/7/16 15:13:16 来源:IT之家 作者:故渊 责编:故渊

IT之家 7 月 16 日消息,网络安全专家发现了意外泄露的 GitHub token,能以最高权限访问 Python 语言、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库。

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中,IT之家附上博文相关内容如下:

这起安全案例非常特殊,如果该 token 落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换为恶意软件),甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件(“build.cpython-311.pyc”)中发现该认证 token,于 2023 年 3 月 3 日前创建,由于安全日志在 90 天之后已失效,目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后,相关 token 立即被撤销,没有证据表明该 token 有被黑客利用。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

相关文章

关键词:PythonGitHub

软媒旗下网站: IT之家 最会买 - 返利返现优惠券 iPhone之家 Win7之家 Win10之家 Win11之家

软媒旗下软件: 软媒手机APP应用 魔方 最会买 要知