nykek5i 发表于 2024-8-17 22:31:17

Python 的 GitHub 核心资源库 token 意外揭发


    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">IT之家 7 月 16 日<span style="color: black;">信息</span>,网络安全专家<span style="color: black;">发掘</span>了意外<span style="color: black;">泄密</span>的 GitHub token,<strong style="color: blue;">能以最高权限<span style="color: black;">拜访</span> Python 语言、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库。</strong></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><img src="//q8.itc.cn/q_70/images03/20240716/ba226930b6b84e269b79fdfbb04671da.jpeg" style="width: 50%; margin-bottom: 20px;"></p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">网络安全<span style="color: black;">机构</span> JFrog <span style="color: black;">暗示</span>该 GitHub 私有<span style="color: black;">拜访</span> token 托管在 Docker Hub 上的公有 Docker 容器中,IT之家附上博文<span style="color: black;">关联</span>内容如下:</p>

    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">这起安全案例非常特殊,<span style="color: black;">倘若</span>该 token 落入<span style="color: black;">违法</span>分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者<span style="color: black;">能够</span>将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换为恶意软件),<span style="color: black;">乃至</span><span style="color: black;">能够</span>在 Python 语言本身中注入恶意代码。</p>

    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">JFrog 在公开 Docker 容器的一个编译 Python 文件(“<span style="color: black;">build.cpython-311.pyc</span>”)中<span style="color: black;">发掘</span>该认证 token,于 2023 年 3 月 3 日前创建,<span style="color: black;">因为</span>安全日志在 90 天之后已失效,<span style="color: black;">日前</span>尚不清楚<span style="color: black;">详细</span>创建日期。</p>
    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">JFrog 于 2024 年 6 月 28 日披露该 token 之后,<span style="color: black;">关联</span> token 立即被撤销,<span style="color: black;">无</span>证据<span style="color: black;">显示</span>该 token 有被黑客利用。<a style="color: black;"><span style="color: black;">返回<span style="color: black;">外链论坛:www.fok120.com</span>,查看<span style="color: black;">更加多</span></span></a></p>

    <p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">责任编辑:网友投稿</span></p>




页: [1]
查看完整版本: Python 的 GitHub 核心资源库 token 意外揭发