The Python Package Index Blog
·
通过GitHub Actions工作流进行的令牌窃取活动
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
近期,恶意攻击者通过GitHub Actions窃取了PyPI发布令牌,但未成功发布包。攻击者修改了多个存储令牌的工作流,将其发送至外部服务器。虽然部分令牌被窃取,但未在PyPI上使用。已通知受影响的项目维护者并采取了相应措施。建议使用短期令牌和受信发布者以增强安全性。
🎯
关键要点
-
恶意攻击者通过GitHub Actions窃取了PyPI发布令牌,但未成功发布包。
-
攻击者修改了多个存储令牌的工作流,将其发送至外部服务器。
-
部分令牌被窃取,但未在PyPI上使用。
-
已通知受影响的项目维护者并采取了相应措施。
-
建议使用短期令牌和受信发布者以增强安全性。
-
9月5日,GitGuardian员工发现恶意工作流并提交报告。
-
9月10日,发现攻击并开始响应,确认没有PyPI账户被攻破。
-
项目维护者积极响应,恢复工作流或删除受影响的工作流。
-
建议使用受信发布者替换长期令牌,以保护项目安全。
❓
延伸问答
恶意攻击者是如何窃取PyPI发布令牌的?
攻击者通过修改GitHub Actions工作流,将存储的PyPI令牌发送至外部服务器进行窃取。
此次攻击是否导致PyPI账户被攻破?
没有,PyPI账户未被攻破,攻击者未成功发布任何包。
项目维护者应该如何应对此次攻击?
项目维护者应恢复工作流或删除受影响的工作流,并轮换PyPI令牌。
如何增强GitHub Actions的安全性?
建议使用短期令牌和受信发布者,以减少被攻击的风险。
攻击是何时被发现的?
攻击于9月5日被GitGuardian员工发现,并在9月10日开始响应。
受影响的项目维护者如何被通知?
受影响的项目维护者通过电子邮件被通知,并告知他们令牌已被作废。
➡️
