事实证明所有的安全问题归根到底还是人,比如 PyPI 管理员兼 PSF 基础设施总监 Ee Durbin 也出现了翻车,他将 Github Token 写在本地文件里然后又推送到了 Github 导致令牌泄露。
网络安全公司的研究人员 JFrog 意外发现了一个泄露的 Github 令牌,该令牌可以授予对 Python、PyPI 以及 Python 软件基金会 (PSF) 存储库的更高访问权限。
考虑到 Python 在业界的流行度和使用率,一旦这个令牌被黑客利用,那么将有可能修改软件包添加恶意代码并造成严重的供应链攻击,甚至黑客还可以将恶意代码注入到 Python 本体中。
这个令牌是在 Docker Hub 上的一个公共 Docker 里发现的,令牌位于一个已经编译好的 Python 文件中 (build.cpython-311.pyc),该文件因为疏忽也未被清理。
到 2024 年 6 月 28 日 JFrog 将该问题通报给 PyPI 后,PyPI 管理员 Ee Durbin 承认这个令牌归属于他的 Github 账号,令牌生成是在 2023 年 3 月 3 日之前的某个时间生成的,由于 90 天后的安全日志已经找不到,因此具体生成时间无法确定。
Ee Durbin 就此事道歉并解释了原因:
在本地开发 cabotage-app5 并处理代码库的构建部分时,我不断遇到 Github API 速率限制,这些速率限制仅适用于匿名访问。
在生产环境中,系统配置为 Github App,出于懒惰的原因我修改了本地文件并添加了自己的 Github 令牌,而不是配置本地主机 Github App,这些更改从未打算过远程推送。
虽然我意识到.py 文件泄露令牌的风险,但.pyc 并没有考虑包含编译字节码的文件,当时我使用某个脚本执行了暂存部署,该脚本尝试删除包含硬编码机密在内的临时清理,但并未成功执行。
之后这个 pyc 文件并未在构建中被排除,导致发布到了 Docker 映像中,最终导致该令牌泄露。
目前对账号进行检查以及对相关项目进行检查暂未发现该令牌被恶意利用的情况,因此 JFrog 应该是第一个注意到该令牌的用户,所幸他是安全研究人员而不是黑客,因此这起安全事件并未引起严重问题。
