News Утечка токена на GitHub поставила под угрозу весь язык Python

21620.jpg


Специалисты по кибербезопасности из JFrog серьезную угрозу в виде утечки токена доступа GitHub, который был найден в публичном Docker-контейнере на платформе Docker Hub. Этот токен предоставлял привилегированный доступ к важным репозиториям Python, включая PyPI и PSF, что могло привести к катастрофическим последствиям, так как злоумышленники могли бы внедрить вредоносный код непосредственно в язык программирования и его библиотеки.

Эксперты отметили, что потенциальные последствия такой атаки не подлежат недооценке, поскольку злоумышленники могли бы заменить все дистрибутивы Python на манипулированные версии. Ошибка была обнаружена в скомпилированном файле Python, который оставался в контейнере, несмотря на требования безопасности.

Токен был активен с марта 2023 года, однако точная дата его создания остается неизвестной из-за ограничений в журнале хранения данных. Сразу после выявления проблемы 28 июня токен был отозван, что помогло предотвратить возможные кибератаки.

PyPI является ключевым ресурсом для разработчиков Python, и его популярность делает его привлекательной мишенью для киберпреступников. Уязвимость могла быть использована для распространения вредоносного кода среди широкой аудитории, включая такие гиганты индустрии, как Google, Microsoft, Amazon и Apple.
 
  • Нравится
Реакции: yetiraki и Mirax N
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!