インシデントで流出されたGitHubトークン、 Python エコシステム全てを脅かす

セキュリティメディア「ハッカーニュース」によると、GitHubトークンが流出されるインシデントが発生したそうです。このため、GitHubの Python リポジトリとPyPI、PSFに対するアクセスが可能になりました。セキュリティ企業「JFrog」が見つけたことで、「ミスで流出されたGitHub個人アクセストークンがDocker Hubにホスティングされたパブリックのドッカ―に位置していた」と言います。つまり、誰でもアクセスできる場所にアクセストークンが公開されていたということで、従って、誰がどんな目的でそれを持ってきて、どうやって使ったのかが全く予想がつかない状況だと言えます。例えば、誰かがこのトークンを活用してPyPIのあるパッケージにマルウェアを挿入しても、それは誰でもわからないということになります。

問題のDockerはPyPIのアドミンアカウントと連結されたGitHubアカウントを通じてアクセスができることと分析されました。Dockerを活用し、削除する過程で重要な情報が消されていないまま残されたことと推定されます。問題のトークンは2023年3月前に発行されたことで、トークンに対するセキュリティログは90日以上は記録されないので、その後のことについては知る由もないです。まだこの情報を活用した犯罪事例は見つかっていません。

ハッカーニュースは、「 Python エコシステムで巨大な供給網攻撃を可能にするインシデントだと言えます。さらに、Pythonそのものを操作できることでもあって、かなり深刻です。持続的に注視しなければなりません。」と加えました。