痴汉十人队 有被黑客统统掌控风险，Python 的 GitHub 中枢资源库 token 巧合曝光

发布日期：2024-11-02 12:27    点击次数：172

IT之家 7 月 16 日讯息痴汉十人队，集聚安全各人发现了巧合暴露的 GitHub token，能以最高权限窥察 Python 话语、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。

色电影

集聚安全公司 JFrog 暗示该 GitHub 独到窥察 token 托管在 Docker Hub 上的公有 Docker 容器中痴汉十人队，IT之家附上博文有关实质如下：

这起安全案例相等荒谬，若是该 token 落入违规分子之手，其潜在骚动力再若何描摹王人不为过，举例袭击者不错将坏心代码注入 PyPI 软件包（再升级总共 Python 软件包替换为坏心软件），以至不错在 Python 话语本人中注入坏心代码。

偷拍视频Python 的 GitHub 中枢资源库 token 巧合曝光" data-original="https://img.ithome.com/newsuploadfiles/2024/7/ee2ed7ad-7ef4-4b8b-ae24-fd9e3f4a7a79.jpg?x-bce-process=image/format，f_auto" width="728" height="186">

JFrog 在公开 Docker 容器的一个编译 Python 文献（“build.cpython-311.pyc”）中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日记在 90 天之后已失效，现在尚不明晰具体创建日历。

JFrog 于 2024 年 6 月 28 日裸露该 token 之后，有关 token 立即被取销，莫得凭据标明该 token 有被黑客愚弄。

告白声明：文内含有的对外跳转贯穿（包括不限于超贯穿、二维码、口令等表情）痴汉十人队，用于传递更多信息，从简甄选时代，后果仅供参考，IT之家总共著作均包含本声明。