详细内容或原文请订阅后点击阅览
一个 Docker 容器几乎摧毁了整个 Python 生态系统
17分钟决定了数百万开发者的命运。
来源:安全实验室新闻频道17分钟决定了数百万开发者的命运。
JFrog 安全研究团队发现具有 GitHub Python、PyPI 和 Python Software Foundation 存储库管理访问权限的令牌泄漏。该令牌是在 Docker Hub 平台上的公共 Docker 容器中找到的。
JFrog 检测到令牌泄漏 Python PyPI Docker所识别的令牌提供对整个 Python 基础设施的管理访问权限,包括 Python Software Foundation、PyPI 和 CPython 存储库。如果攻击者获得这些资源的访问权限,他们就可以发起大规模的供应链攻击,例如将恶意代码注入CPython,这可能会将恶意软件传播到全球数千万台机器。
Python 供应链攻击向量
Python 供应链攻击向量另一种可能的攻击场景是将恶意代码注入 PyPI 代码存储库,这将使网络犯罪分子能够控制流行的 PyPI 软件包。黑客可以将恶意代码隐藏在软件包中或完全替换它们,这也将构成严重威胁。
PyPI 供应链攻击向量
PyPI 供应链攻击向量该令牌是在 Docker 容器内已编译的 Python 文件 (pycache/build.cpython-311.pyc) 中找到的。代码作者临时在源代码中添加了授权令牌,然后编译了代码,但没有从编译文件中删除令牌。然后,开发人员将源代码和编译后的 pyc 文件以及令牌一起放入 Docker 映像中。结果,尽管源代码中没有令牌,但令牌最终出现在 Docker 镜像中。
pycache反编译的 build.cpython-311.pyc 文件,带有令牌(顶部)和源代码(底部)
反编译的 build.cpython-311.pyc 文件,带有令牌(顶部)和源代码(底部) 确认