7月16日消息,网络安全专家发现了意外泄露的GitHub token,能以最高权限访问Python语言、Python软件包索引(PyPI)和Python软件基金会(PSF)存储库。
网络安全公司JFrog表示:“该GitHub私有访问token托管在Docker Hub上的公有Docker容器中,如果该token落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入PyPI软件包(再升级所有Python软件包替换为恶意软件),甚至可以在Python语言本身中注入恶意代码。”
扫一扫
在手机上阅读