如果 Python 程式語言本身是惡意的怎麼辦?這將是人類歷史上最具破壞性的供應鏈攻擊- 但它差一點就發生了
一個重要的GitHub 代幣意外洩露,幾乎導致了人類歷史上最具破壞性的供應鏈攻擊。
由網路安全研究人員發現JFrog 是在Docker Hub 上託管的公共Docker 容器中發現的GitHub 個人存取令牌,並授予對Python 語言、Python Package Index (PyPI) 和Python Foundation (PSF) 的GitHub 儲存庫的提升存取權限。
「這個案例很特殊,因為如果它落入壞人之手,就很難高估潛在的後果——人們可能會將惡意程式碼注入到PyPI 套件中(想像用惡意包替換所有Python 套件),甚至注入到Python 語言本身,」研究人員在他們的文章中解釋道(在新分頁中開啟)。
暴露了幾個月
該令牌是在 Docker 容器內的一個已編譯的 Python 檔案中發現的,該檔案被錯誤地未清理。
根據 PyPI ,該令牌是在 2023 年 3 月 3 日之前發行的,但由於日誌僅持續 90 天,因此無法確定確切的日期。 PyPI 管理員 Ee Durbin 於今年 6 月 28 日收到通知,之後該令牌被撤銷。
Python 套件索引 (PyPI) 是世界排名第一的 Python 套件來源。這個開源平台是希望與社群發布和分享 Python 軟體和函式庫的開發人員的中心樞紐。因此,對於對供應鏈攻擊感興趣的網路犯罪分子來說,它是一個非常受歡迎的目標。
透過將惡意軟體包潛入平台(或毒害現有軟體包),網路犯罪分子可以一舉攻破數百個組織。
更糟糕的是,許多財富 100 強公司在其軟體產品中使用 PyPI,包括谷歌、微軟、亞馬遜和蘋果。
2024 年 3 月下旬,該平台被迫暫停新帳戶和新專案註冊,以應對大規模網路攻擊哪些威脅行為者試圖上傳數百個惡意軟體包。
以上是GitHub 代幣外洩險些引發 Python 供應鏈攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章!
