The Python Package Index Blog
·
通过GitHub Actions工作流进行的令牌窃取活动
内容提要
近期,恶意攻击者通过GitHub Actions窃取了PyPI发布令牌,但未成功发布包。攻击者修改了多个存储令牌的工作流,将其发送至外部服务器。虽然部分令牌被窃取,但未在PyPI上使用。已通知受影响的项目维护者并采取了相应措施。建议使用短期令牌和受信发布者以增强安全性。
关键要点
-
恶意攻击者通过GitHub Actions窃取了PyPI发布令牌,但未成功发布包。
-
攻击者修改了多个存储令牌的工作流,将其发送至外部服务器。
-
部分令牌被窃取,但未在PyPI上使用。
-
已通知受影响的项目维护者并采取了相应措施。
-
建议使用短期令牌和受信发布者以增强安全性。
-
9月5日,GitGuardian员工发现恶意工作流并提交报告。
-
9月10日,发现攻击并开始响应,确认没有PyPI账户被攻破。
-
项目维护者积极响应,恢复工作流或删除受影响的工作流。
-
建议使用受信发布者替换长期令牌,以保护项目安全。
延伸解读
攻击背景与影响
此次攻击利用GitHub Actions的工作流进行令牌窃取,显示了开源项目在安全性方面的脆弱性。尽管攻击者未能成功发布包,但窃取的令牌可能在未来被用于其他恶意活动,提醒开发者重视代码安全和令牌管理。
安全建议与最佳实践
为防止类似攻击,建议开发者使用短期令牌和受信发布者。短期令牌的有效期较短,降低了被滥用的风险。此外,定期检查安全历史记录,及时发现可疑活动,也是保护项目的重要措施。
响应与恢复措施
事件发生后,项目维护者积极响应,恢复或删除受影响的工作流,显示了社区的合作精神。及时的沟通和响应机制对于减少损失至关重要,维护者应建立有效的应急响应流程,以应对未来可能的安全威胁。
延伸问答
恶意攻击者是如何窃取PyPI发布令牌的?
攻击者通过修改GitHub Actions工作流,将存储的PyPI令牌发送至外部服务器进行窃取。
此次攻击是否导致PyPI账户被攻破?
没有,PyPI账户未被攻破,攻击者未成功发布任何包。
项目维护者应该如何应对此次攻击?
项目维护者应恢复工作流或删除受影响的工作流,并轮换PyPI令牌。
如何增强GitHub Actions的安全性?
建议使用短期令牌和受信发布者,以减少被攻击的风险。
攻击是何时被发现的?
攻击于9月5日被GitGuardian员工发现,并在9月10日开始响应。
受影响的项目维护者如何被通知?
受影响的项目维护者通过电子邮件被通知,并告知他们令牌已被作废。
