有被黑客完全掌控风险，Python 的 GitHub 核心资源库 token 意外曝光

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，IT之家附上博文相关内容如下：

这起安全案例非常特殊，如果该 token 落入不法分子之手，其潜在破坏力再怎么形容都不为过，例如攻击者可以将恶意代码注入 PyPI 软件包（再升级所有 Python 软件包替换为恶意软件），甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件（“build.cpython-311.pyc”）中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日志在 90 天之后已失效，目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后，相关 token 立即被撤销，没有证据表明该 token 有被黑客利用。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。