网络安全专家发现了意外泄露的 GitHub token，能以最高权限访问 Python 语言、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，IT之家附上博文相关内容如下：

这起安全案例非常特殊，如果该 token 落入不法分子之手，其潜在破坏力再怎么形容都不为过，例如攻击者可以将恶意代码注入 PyPI 软件包（再升级所有 Python 软件包替换为恶意软件），甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件（“build.cpython-311.pyc”）中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日志在 90 天之后已失效，目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后，相关 token 立即被撤销，没有证据表明该 token 有被黑客利用。

本文转载自IT之家，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请联系IT之家通知我方删除，我方将在收到通知后第一时间删除内容！本文只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。