语言惊现高权限漏洞开发者赶紧自查

2024-07-1617:07:21作者：姚立伟

网络安全专家近日发现了一起意外的GitHub私有访问令牌泄露事件。据悉，这些令牌能够以最高权限访问Python语言、Python软件包索引（PyPI）和Python软件基金会（PSF）存储库。

网络安全公司JFrog表示，该GitHub私有访问令牌存储在DockerHub上的公有Docker容器中。这种安全案例非常特殊，如果该令牌落入不法分子之手，其潜在破坏力无法形容。例如，攻击者可以将恶意代码注入PyPI软件包，从而再升级所有Python软件包替换为恶意软件；甚至可以在Python语言本身中注入恶意代码。

在公开的Docker容器的一个编译Python文件（"build.cpython-311.pyc"）中，研究人员发现了该认证令牌。这个令牌于2023年3月3日之前创建，并且由于安全日志在90天之后已失效，因此具体创建日期尚不清楚。

JFrog于2024年6月28日披露了这个令牌的存在后，相关令牌立即被撤销，语言惊现高权限漏洞开发者赶紧自查并且没有证据表明这些令牌已被黑客利用。