Python 的 GitHub 核心资源库 token 意外曝光

IT之家 7 月 16 日消息，网络安全专家发现了意外泄露的 GitHub token，能以最高权限访问 Python 语言、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，IT之家附上博文相关内容如下：

这起安全案例非常特殊，如果该 token 落入不法分子之手，其潜在破坏力再怎么形容都不为过，例如攻击者可以将恶意代码注入 PyPI 软件包（再升级所有 Python 软件包替换为恶意软件），甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件（“build.cpython-311.pyc”）中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日志在 90 天之后已失效，目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后，相关 token 立即被撤销，没有证据表明该 token 有被黑客利用。