GitHub トークンの漏洩により、Python サプライ チェーン攻撃が引き起こされるところだった

Python プログラミング言語自体に悪意がある場合はどうなるでしょうか?それは人類史上で最も壊滅的なサプライチェーン攻撃となるだろう - しかし、それは危うく起こるところだった

An important GitHub token was accidentally leaked, almost leading to the most devastating supply chain attack in human history.

重要な GitHub トークンが誤って漏洩し、人類史上最も壊滅的なサプライ チェーン攻撃につながるところでした。

Discovered by cybersecurity researchers from JFrog, the GitHub Personal Access Token was found in a public Docker container hosted on Docker Hub, and granted elevated access to the GitHub repositories of the Python language, Python Package Index (PyPI), and the Python Software Foundation (PSF).

JFrog のサイバーセキュリティ研究者によって発見された GitHub Personal Access Token は、Docker Hub でホストされているパブリック Docker コンテナ内で発見され、Python 言語、Python Package Index (PyPI)、および Python Software Foundation の GitHub リポジトリへの昇格アクセスが許可されました ( PSF）。

"This case was exceptional because it is difficult to overestimate the potential consequences if it had fallen into the wrong hands – one could supposedly inject malicious code into PyPI packages (imagine replacing all Python packages with malicious ones), and even to the Python language itself," the researchers explained (opens in new tab) in their writeup.

「このケースは例外的でした。なぜなら、それが悪者の手に渡った場合の潜在的な結果を過大評価するのは難しいからです。PyPI パッケージ (すべての Python パッケージを悪意のあるものに置き換えることを想像してください) に、さらには Python 言語自体に悪意のあるコードが注入される可能性があります。」 」と研究者らは論文の中で説明した（新しいタブで開きます）。

Exposed for months

何か月もさらされる

The token was found inside a Docker container in a compiled Python file that was erroneously not cleaned up, they added.

このトークンは、誤ってクリーンアップされなかったコンパイル済みの Python ファイル内の Docker コンテナ内で発見されたと彼らは付け加えた。

According to PyPI, the token was issued before March 3, 2023, but the exact date is impossible to determine since the logs only last for 90 days. PyPI Admin Ee Durbin was notified on June 28 this year, after which the token was revoked.

PyPI によると、トークンは 2023 年 3 月 3 日より前に発行されましたが、ログが 90 日間しか持続しないため、正確な日付を特定することは不可能です。 PyPI 管理者の Ee Durbin は今年 6 月 28 日に通知を受け、その後トークンは取り消されました。

The Python Package Index (PyPI) is the world’s number one source for Python packages. The open-source platform is a central hub for developers looking to publish and share their Python software and libraries with the community. As such, it is an extremely popular target for cybercriminals interested in supply-chain attacks.

Python Package Index (PyPI) は、Python パッケージの世界最大のソースです。オープンソース プラットフォームは、Python ソフトウェアとライブラリを公開してコミュニティと共有したいと考えている開発者にとっての中心ハブです。そのため、サプライチェーン攻撃に関心のあるサイバー犯罪者にとって、非常に人気のある標的となっています。

By sneaking malicious packages into the platform (or poisoning existing ones), cybercriminals can compromise hundreds of organizations in one fell swoop.

サイバー犯罪者は、悪意のあるパッケージをプラットフォームに忍び込ませる（または既存のパッケージを汚染する）ことで、数百の組織を一度に侵害する可能性があります。

To make matters worse, many Fortune 100 companies use PyPI in their software products, including Google, Microsoft, Amazon, and Apple.

さらに悪いことに、Google、Microsoft、Amazon、Apple など、多くの Fortune 100 企業が自社のソフトウェア製品で PyPI を使用しています。

In late March 2024, the platform was forced to suspend new account and new project registrations to tackle a large-scale cyberattack in which threat actors tried to upload hundreds of malicious packages.

2024 年 3 月下旬、脅威アクターが数百の悪意のあるパッケージをアップロードしようとした大規模なサイバー攻撃に対処するため、プラットフォームは新規アカウントと新規プロジェクトの登録の一時停止を余儀なくされました。