Утечка токена GitHub могла поставить под угрозу безопасность всего языка программирования Python

Специалисты по кибербезопасности из JFrog выявили серьезную угрозу, связанную с утечкой токена доступа GitHub. Этот токен, найденный в публичном Docker-контейнере на платформе Docker Hub, обеспечивал привилегированный доступ к основным репозиториям Python, включая индекс пакетов Python (PyPI) и Фонд программного обеспечения Python (PSF). В случае его попадания в руки злоумышленников, последствия могли быть разрушительными, вплоть до внедрения вредоносного кода в сам язык программирования и его библиотеки.

Эксперты подчеркнули, что потенциальный ущерб от такого взлома сложно переоценить: возможно, злоумышленники могли бы заменить все дистрибутивы Python на манипулированные версии. Ошибка была обнаружена в скомпилированном файле Python, который не был удален из контейнера, как того требовало бы обеспечение безопасности.

Токен был активен с марта 2023 года, но точная дата его выдачи неизвестна из-за ограничений в хранении данных журнала. Сразу после обнаружения проблемы, 28 июня, токен был отозван, что предотвратило возможные кибератаки.

PyPI является критически важным ресурсом для разработчиков Python, а его популярность делает его привлекательной целью для киберпреступников. Они могли бы использовать уязвимость для распространения вредоносного кода среди массы пользователей, включая ведущие мировые компании, такие как Google, Microsoft, Amazon и Apple.