有被黑客完全掌控风险,Python的GitHub核心资源库token意外曝光

437次阅读  |  发布于4月以前

7月16日消息,网络安全专家发现了意外泄露的GitHub token,能以最高权限访问Python语言、Python软件包索引(PyPI)和Python软件基金会(PSF)存储库。

网络安全公司JFrog表示:“该GitHub私有访问token托管在Docker Hub上的公有Docker容器中,如果该token落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入PyPI软件包(再升级所有Python软件包替换为恶意软件),甚至可以在Python语言本身中注入恶意代码。”

Copyright© 2013-2019

京ICP备2023019179号-2