网络安全专家发现了一个意外泄露的 GitHub token，该 token 可以访问 Python 语言、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。该 token 被托管在 Docker Hub 上的公共 Docker 容器中，如果落入不法分子手中，将可能导致恶意代码注入 PyPI 软件包，甚至在 Python 语言本身中注入恶意代码。尽管该 token 已经被撤销，但此事件暴露了软件开发中安全漏洞的潜在风险。

👨‍💻 该 GitHub token 被发现托管在 Docker Hub 上的公共 Docker 容器中，这意味着任何人都可以访问它。

🚨 该 token 拥有最高权限，可以访问 Python 语言、PyPI 和 PSF 存储库，这意味着攻击者可以将恶意代码注入 Python 软件包，甚至在 Python 语言本身中注入恶意代码。

🛡️ 虽然该 token 已经被撤销，但此事件提醒我们软件开发中安全漏洞的潜在风险。开发人员需要更加注重代码安全，并采取措施保护敏感信息，例如 API 密钥和 token。

⚠️ 由于该 token 创建于 2023 年 3 月 3 日之前，安全日志已失效，无法确定具体创建日期，这也意味着可能存在其他未知的漏洞。

🌐 此事件也提醒我们，软件开发是一个复杂的生态系统，需要多方参与才能保证安全。除了开发人员之外，软件包管理平台、安全研究人员和用户都需要共同努力，才能构建一个更加安全的软件开发环境。

🕵️ 虽然目前没有证据表明该 token 被黑客利用，但此事件提醒我们，安全漏洞可能随时出现，我们需要时刻保持警惕。

⚠️ 该事件也暴露了 Docker Hub 安全措施的不足，因为公共 Docker 容器中不应该包含敏感信息，例如 API 密钥和 token。

IT之家 7 月 16 日消息，网络安全专家发现了意外泄露的 GitHub token，能以最高权限访问 Python 语言、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，IT之家附上博文相关内容如下：

这起安全案例非常特殊，如果该 token 落入不法分子之手，其潜在破坏力再怎么形容都不为过，例如攻击者可以将恶意代码注入 PyPI 软件包（再升级所有 Python 软件包替换为恶意软件），甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件（“build.cpython-311.pyc”）中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日志在 90 天之后已失效，目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后，相关 token 立即被撤销，没有证据表明该 token 有被黑客利用。