蓝点网
·
PyPI管理员/PSF基础设施总监偷懒:将Github Token写入文件中导致泄露
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Python软件基金会基础设施总监疏忽将Github令牌上传到Docker映像中,可能导致供应链攻击。泄露的令牌被网络安全公司发现,尚未被黑客利用。
🎯
关键要点
- Python软件基金会基础设施总监Ee Durbin因疏忽将Github令牌上传到Docker映像中,导致令牌泄露。
- 泄露的Github令牌可以修改Python本体、PyPl软件包及PSF存储库,若被黑客利用可能造成严重的供应链攻击。
- 网络安全公司JFrog的研究人员发现了泄露的Github令牌,令牌位于Docker Hub上的公共Docker中。
- Ee Durbin承认该令牌属于他的Github账号,生成时间在2023年3月3日之前,具体时间无法确定。
- Ee Durbin对此事件道歉,解释因懒惰将Github令牌写入本地文件并上传,未考虑到安全风险。
- 目前未发现该令牌被恶意利用,JFrog是第一个注意到该令牌的用户,事件未造成严重后果。
➡️
