黑客通过篡改GitHub Actions工作流窃取PyPI发布令牌
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
近期攻击者通过注入恶意代码窃取GitHub Actions中的PyPI发布令牌,部分令牌被盗但未被滥用。PyPI建议开发者启用“可信发布者”功能以增强安全性。
🎯
关键要点
- 攻击者通过注入恶意代码窃取GitHub Actions中的PyPI发布令牌。
- 部分存储在GitHub secrets中的令牌被窃取,但未被滥用。
- PyPI管理团队确认平台未被入侵,且被盗令牌未发现使用痕迹。
- GitGuardian安全研究人员首次发现该攻击活动,并向PyPI安全团队报告。
- PyPI启动应急响应流程,与GitGuardian合作调查。
- 项目维护者采取措施回滚恶意修改并轮换PyPI令牌。
- PyPI建议开发者停止使用长期有效的API令牌,启用'可信发布者'功能。
- 该功能自动生成短期有效的令牌,限制权限以增强安全性。
- 开发者应检查账户安全历史记录,排查可疑活动。
❓
延伸问答
黑客是如何窃取PyPI发布令牌的?
黑客通过向GitHub Actions工作流注入恶意代码,窃取存储为secrets的PyPI发布令牌。
被盗的PyPI令牌是否被滥用?
PyPI管理团队确认被盗的令牌尚未发现被用于发布恶意软件包或入侵账户。
PyPI对开发者有哪些安全建议?
PyPI建议开发者停止使用长期有效的API令牌,并启用'可信发布者'功能以增强安全性。
GitGuardian在此次事件中扮演了什么角色?
GitGuardian的安全研究人员首次发现了攻击活动,并向PyPI安全团队报告了可疑的GitHub Actions工作流。
如何启用'可信发布者'功能?
'可信发布者'功能会为每次工作流运行自动生成短期有效的令牌,开发者可以在PyPI官网进行设置。
此次攻击事件的后续处理措施是什么?
项目维护者采取了回滚恶意修改和轮换PyPI令牌等措施,PyPI宣布所有受影响令牌失效。
➡️
