Специалисты по кибербезопасности из JFrog
Ссылка скрыта от гостей
серьезную угрозу в виде утечки токена доступа GitHub, который был найден в публичном Docker-контейнере на платформе Docker Hub. Этот токен предоставлял привилегированный доступ к важным репозиториям Python, включая PyPI и PSF, что могло привести к катастрофическим последствиям, так как злоумышленники могли бы внедрить вредоносный код непосредственно в язык программирования и его библиотеки.Эксперты отметили, что потенциальные последствия такой атаки не подлежат недооценке, поскольку злоумышленники могли бы заменить все дистрибутивы Python на манипулированные версии. Ошибка была обнаружена в скомпилированном файле Python, который оставался в контейнере, несмотря на требования безопасности.
Токен был активен с марта 2023 года, однако точная дата его создания остается неизвестной из-за ограничений в журнале хранения данных. Сразу после выявления проблемы 28 июня токен был отозван, что помогло предотвратить возможные кибератаки.
PyPI является ключевым ресурсом для разработчиков Python, и его популярность делает его привлекательной мишенью для киберпреступников. Уязвимость могла быть использована для распространения вредоносного кода среди широкой аудитории, включая такие гиганты индустрии, как Google, Microsoft, Amazon и Apple.
