GitHub 토큰 유출로 인해 Python 공급망 공격이 발생할 뻔했습니다.

Python 프로그래밍 언어 자체가 악성이라면 어떻게 될까요? 이는 인류 역사상 가장 파괴적인 공급망 공격이 될 것입니다. 그러나 거의 일어날 뻔했습니다.

An important GitHub token was accidentally leaked, almost leading to the most devastating supply chain attack in human history.

중요한 GitHub 토큰이 실수로 유출되어 인류 역사상 가장 파괴적인 공급망 공격으로 이어질 뻔했습니다.

Discovered by cybersecurity researchers from JFrog, the GitHub Personal Access Token was found in a public Docker container hosted on Docker Hub, and granted elevated access to the GitHub repositories of the Python language, Python Package Index (PyPI), and the Python Software Foundation (PSF).

JFrog의 사이버 보안 연구원이 발견한 GitHub 개인 액세스 토큰은 Docker Hub에서 호스팅되는 공개 Docker 컨테이너에서 발견되었으며 Python 언어의 GitHub 리포지토리, Python 패키지 인덱스(PyPI) 및 Python Software Foundation( PSF).

"This case was exceptional because it is difficult to overestimate the potential consequences if it had fallen into the wrong hands – one could supposedly inject malicious code into PyPI packages (imagine replacing all Python packages with malicious ones), and even to the Python language itself," the researchers explained (opens in new tab) in their writeup.

"이 사례는 잘못된 사람의 손에 넘어갈 경우 발생할 수 있는 결과를 과대평가하기 어렵기 때문에 예외적이었습니다. PyPI 패키지(모든 Python 패키지를 악성 패키지로 교체한다고 상상해 보세요)에 악성 코드를 삽입할 수도 있고 심지어 Python 언어 자체에도 삽입할 수도 있습니다. "라고 연구원들은 글에서 설명했습니다(새 탭에서 열림).

Exposed for months

몇 달 동안 노출됨

The token was found inside a Docker container in a compiled Python file that was erroneously not cleaned up, they added.

토큰은 실수로 정리되지 않은 컴파일된 Python 파일의 Docker 컨테이너 내부에서 발견되었다고 덧붙였습니다.

According to PyPI, the token was issued before March 3, 2023, but the exact date is impossible to determine since the logs only last for 90 days. PyPI Admin Ee Durbin was notified on June 28 this year, after which the token was revoked.

PyPI에 따르면 토큰은 2023년 3월 3일 이전에 발행되었지만 로그는 90일 동안만 지속되므로 정확한 날짜를 확인할 수 없습니다. PyPI 관리자 Ee Durbin은 올해 6월 28일에 알림을 받은 후 토큰이 취소되었습니다.

The Python Package Index (PyPI) is the world’s number one source for Python packages. The open-source platform is a central hub for developers looking to publish and share their Python software and libraries with the community. As such, it is an extremely popular target for cybercriminals interested in supply-chain attacks.

Python Package Index(PyPI)는 Python 패키지에 대한 세계 최고의 소스입니다. 오픈 소스 플랫폼은 Python 소프트웨어와 라이브러리를 게시하고 커뮤니티와 공유하려는 개발자를 위한 중앙 허브입니다. 따라서 이는 공급망 공격에 관심이 있는 사이버 범죄자들에게 매우 인기 있는 표적입니다.

By sneaking malicious packages into the platform (or poisoning existing ones), cybercriminals can compromise hundreds of organizations in one fell swoop.

사이버 범죄자는 악성 패키지를 플랫폼에 몰래 삽입하거나 기존 패키지를 중독시킴으로써 단번에 수백 개의 조직을 손상시킬 수 있습니다.

To make matters worse, many Fortune 100 companies use PyPI in their software products, including Google, Microsoft, Amazon, and Apple.

설상가상으로 많은 Fortune 100대 기업이 Google, Microsoft, Amazon, Apple을 포함한 소프트웨어 제품에 PyPI를 사용하고 있습니다.

In late March 2024, the platform was forced to suspend new account and new project registrations to tackle a large-scale cyberattack in which threat actors tried to upload hundreds of malicious packages.

2024년 3월 말, 플랫폼은 위협 행위자가 수백 개의 악성 패키지를 업로드하려고 시도한 대규모 사이버 공격에 대처하기 위해 새 계정과 새 프로젝트 등록을 일시 중단해야 했습니다.