|
2024-07-16 17:07:21作者:姚立伟
网络安全专家近期发掘了一块意外的GitHub私有拜访令牌泄密事件。据说,这些令牌能够以最高权限拜访Python语言、Python软件包索引(PyPI)和Python软件基金会(PSF)存储库。
网络安全机构JFrog暗示,该GitHub私有拜访令牌存储在Docker Hub上的公有Docker容器中。这种安全案例非常特殊,倘若该令牌落入违法分子之手,其潜在破坏力没法形容。例如,攻击者能够将恶意代码注入PyPI软件包,从而再升级所有Python软件包替换为恶意软件;乃至能够在Python语言本身中注入恶意代码。
在公开的Docker容器的一个编译Python文件("build.cpython-311.pyc")中,科研人员发掘了该认证令牌。这个令牌于2023年3月3日之前创建,并且因为安全日志在90天之后已失效,因此呢详细创建日期尚不清楚。
JFrog于2024年6月28日披露了这个令牌的存在后,关联令牌立即被撤销,并且无证据显示这些令牌已被黑客利用。返回外链论坛:www.fok120.com,查看更加多
责任编辑:网友投稿
| 
发表于 2024-8-18 09:37:00
