2024-07-16 17:07:21作者：姚立伟

网络安全专家近日发现了一起意外的GitHub私有访问令牌泄露事件。据悉，这些令牌能够以最高权限访问Python语言、Python软件包索引（PyPI）和Python软件基金会（PSF）存储库。

网络安全公司JFrog表示，该GitHub私有访问令牌存储在Docker Hub上的公有Docker容器中。这种安全案例非常特殊，如果该令牌落入不法分子之手，其潜在破坏力无法形容。例如，攻击者可以将恶意代码注入PyPI软件包，从而再升级所有Python软件包替换为恶意软件；甚至可以在Python语言本身中注入恶意代码。

在公开的Docker容器的一个编译Python文件（"build.cpython-311.pyc"）中，研究人员发现了该认证令牌。这个令牌于2023年3月3日之前创建，并且由于安全日志在90天之后已失效，因此具体创建日期尚不清楚。

JFrog于2024年6月28日披露了这个令牌的存在后，相关令牌立即被撤销，并且没有证据表明这些令牌已被黑客利用。