黑客通过篡改GitHub Actions工作流窃取PyPI发布令牌
内容提要
近期攻击者通过注入恶意代码窃取GitHub Actions中的PyPI发布令牌,部分令牌被盗但未被滥用。PyPI建议开发者启用“可信发布者”功能以增强安全性。
关键要点
-
攻击者通过注入恶意代码窃取GitHub Actions中的PyPI发布令牌。
-
部分存储在GitHub secrets中的令牌被窃取,但未被滥用。
-
PyPI管理团队确认平台未被入侵,且被盗令牌未发现使用痕迹。
-
GitGuardian安全研究人员首次发现该攻击活动,并向PyPI安全团队报告。
-
PyPI启动应急响应流程,与GitGuardian合作调查。
-
项目维护者采取措施回滚恶意修改并轮换PyPI令牌。
-
PyPI建议开发者停止使用长期有效的API令牌,启用'可信发布者'功能。
-
该功能自动生成短期有效的令牌,限制权限以增强安全性。
-
开发者应检查账户安全历史记录,排查可疑活动。
延伸解读
攻击背景与影响
此次攻击通过向GitHub Actions注入恶意代码,成功窃取了PyPI发布令牌。虽然被盗令牌尚未被滥用,但这一事件暴露了开发者在使用GitHub Actions时的安全隐患,提醒开发者需加强对工作流的监控与审查。
安全防护措施
PyPI建议开发者启用'可信发布者'功能,以生成短期有效的令牌并限制权限。这一措施能有效降低令牌被滥用的风险,开发者应尽快采取行动,确保软件包发布的安全性。
事件响应与合作
此次事件的成功处置得益于PyPI与GitGuardian的高效合作。安全研究人员的及时发现和报告,使得PyPI能够迅速启动应急响应流程,强调了社区合作在网络安全中的重要性。
延伸问答
黑客是如何窃取PyPI发布令牌的?
黑客通过向GitHub Actions工作流注入恶意代码,窃取存储为secrets的PyPI发布令牌。
被盗的PyPI令牌是否被滥用?
PyPI管理团队确认被盗的令牌尚未发现被用于发布恶意软件包或入侵账户。
PyPI对开发者有哪些安全建议?
PyPI建议开发者停止使用长期有效的API令牌,并启用'可信发布者'功能以增强安全性。
GitGuardian在此次事件中扮演了什么角色?
GitGuardian的安全研究人员首次发现了攻击活动,并向PyPI安全团队报告了可疑的GitHub Actions工作流。
如何启用'可信发布者'功能?
'可信发布者'功能会为每次工作流运行自动生成短期有效的令牌,开发者可以在PyPI官网进行设置。
此次攻击事件的后续处理措施是什么?
项目维护者采取了回滚恶意修改和轮换PyPI令牌等措施,PyPI宣布所有受影响令牌失效。
