Das GitHub-Token-Leck hätte beinahe zu einem Angriff auf die Python-Lieferkette geführt

Was wäre, wenn die Programmiersprache Python selbst bösartig wäre? Es wäre der verheerendste Angriff auf die Lieferkette in der Geschichte der Menschheit – doch beinahe wäre es dazu gekommen

An important GitHub token was accidentally leaked, almost leading to the most devastating supply chain attack in human history.

Ein wichtiger GitHub-Token wurde versehentlich durchgesickert, was beinahe zum verheerendsten Angriff auf die Lieferkette in der Geschichte der Menschheit geführt hätte.

Discovered by cybersecurity researchers from JFrog, the GitHub Personal Access Token was found in a public Docker container hosted on Docker Hub, and granted elevated access to the GitHub repositories of the Python language, Python Package Index (PyPI), and the Python Software Foundation (PSF).

Das von Cybersicherheitsforschern von JFrog entdeckte GitHub Personal Access Token wurde in einem öffentlichen Docker-Container gefunden, der auf Docker Hub gehostet wird, und gewährte erhöhten Zugriff auf die GitHub-Repositorys der Python-Sprache, Python Package Index (PyPI) und die Python Software Foundation ( PSF).

"This case was exceptional because it is difficult to overestimate the potential consequences if it had fallen into the wrong hands – one could supposedly inject malicious code into PyPI packages (imagine replacing all Python packages with malicious ones), and even to the Python language itself," the researchers explained (opens in new tab) in their writeup.

„Dieser Fall war außergewöhnlich, denn es ist schwierig, die möglichen Folgen zu überschätzen, wenn er in die falschen Hände geraten wäre – man könnte angeblich bösartigen Code in PyPI-Pakete einschleusen (stellen Sie sich vor, alle Python-Pakete durch bösartige zu ersetzen) und sogar in die Python-Sprache selbst „, erklärten die Forscher (öffnet in neuem Tab) in ihrem Artikel.

Exposed for months

Monatelang ausgesetzt

The token was found inside a Docker container in a compiled Python file that was erroneously not cleaned up, they added.

Das Token wurde in einem Docker-Container in einer kompilierten Python-Datei gefunden, die fälschlicherweise nicht bereinigt wurde, fügten sie hinzu.

According to PyPI, the token was issued before March 3, 2023, but the exact date is impossible to determine since the logs only last for 90 days. PyPI Admin Ee Durbin was notified on June 28 this year, after which the token was revoked.

Laut PyPI wurde der Token vor dem 3. März 2023 ausgegeben, das genaue Datum lässt sich jedoch nicht ermitteln, da die Protokolle nur 90 Tage lang gültig sind. PyPI-Administrator Ee Durbin wurde am 28. Juni dieses Jahres benachrichtigt, woraufhin der Token widerrufen wurde.

The Python Package Index (PyPI) is the world’s number one source for Python packages. The open-source platform is a central hub for developers looking to publish and share their Python software and libraries with the community. As such, it is an extremely popular target for cybercriminals interested in supply-chain attacks.

Der Python Package Index (PyPI) ist die weltweit führende Quelle für Python-Pakete. Die Open-Source-Plattform ist eine zentrale Anlaufstelle für Entwickler, die ihre Python-Software und -Bibliotheken veröffentlichen und mit der Community teilen möchten. Daher ist es ein äußerst beliebtes Ziel für Cyberkriminelle, die an Angriffen auf die Lieferkette interessiert sind.

By sneaking malicious packages into the platform (or poisoning existing ones), cybercriminals can compromise hundreds of organizations in one fell swoop.

Durch das Einschleusen bösartiger Pakete in die Plattform (oder das Vergiften vorhandener Pakete) können Cyberkriminelle Hunderte von Organisationen auf einen Schlag kompromittieren.

To make matters worse, many Fortune 100 companies use PyPI in their software products, including Google, Microsoft, Amazon, and Apple.

Erschwerend kommt hinzu, dass viele Fortune-100-Unternehmen PyPI in ihren Softwareprodukten verwenden, darunter Google, Microsoft, Amazon und Apple.

In late March 2024, the platform was forced to suspend new account and new project registrations to tackle a large-scale cyberattack in which threat actors tried to upload hundreds of malicious packages.

Ende März 2024 musste die Plattform die Registrierung neuer Konten und neuer Projekte sperren, um einen groß angelegten Cyberangriff abzuwehren, bei dem Bedrohungsakteure versuchten, Hunderte von Schadpaketen hochzuladen.