GitHub Token 泄露致 Python 核心存储库面临潜在攻击

网络安全研究人员表示，他们发现了一个意外泄露的 GitHub 令牌，该令牌可以授予对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。

发现 GitHub 个人访问令牌的 JFrog 表示，该令牌密钥是在托管在 Docker Hub 上的公共 Docker 容器中泄露的。

该软件供应链安全公司表示：“这个案例很特殊，因为如果它落入坏人之手，很难估计其潜在后果——据称有人可能会将恶意代码注入 PyPI 包中（想象一下用恶意代码替换所有 Python 包），甚至注入 Python 语言本身。”

攻击者可以利用其管理员访问权限，通过毒害与 Python 编程语言核心或 PyPI 包管理器相关的源代码来发动大规模供应链攻击。

JFrog 注意到，在 Docker 容器内发现了身份验证令牌，该令牌位于一个已编译的 Python 文件（“build.cpython-311.pyc”）中，但该文件因疏忽而未被清理。

在 2024 年 6 月 28 日负责任地披露后，为与 PyPI 管理员 Ee Durbin 关联的 GitHub 帐户颁发的令牌立即被撤销。目前还没有证据表明该秘密被野外利用。

PyPI 表示，该令牌是在 2023 年 3 月 3 日之前的某个时间发行的，由于 90 天后安全日志不可用，因此具体日期未知。

Durbin解释道：“在本地开发 cabotage-app5 并处理代码库的构建部分时，我不断遇到 GitHub API 速率限制。”

“这些速率限制适用于匿名访问。在生产中，系统配置为 GitHub App，出于偷懒，我修改了本地文件以包含自己的访问令牌，而不是配置本地主机 GitHub App。这些更改从未打算远程推送。”

Checkmarx 在 PyPI 上发现了一系列恶意软件，这些恶意软件旨在在未经受害者同意或不知情的情况下将敏感信息泄露给 Telegram 机器人。

有问题的软件包 - testbrojct2、proxyfullscraper、proxyalhttp 和 proxyfullscrapers - 通过扫描受感染的系统以查找与 .py、.php、.zip、.png、.jpg 和 .jpeg 等扩展名匹配的文件来工作。

Checkmarx 研究员 Yehuda Gelb表示：“Telegram 机器人与伊拉克的多个网络犯罪行动有关”，并指出该机器人的消息历史可以追溯到 2022 年。

“该机器人还可以充当提供社交媒体操纵服务的地下市场。它与金融盗窃有关，并通过窃取受害者的数据来利用受害者。”

参考链接：https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html

讲述普通人能听懂的安全故事