Язык программирования Python оказался близок к заражению хакерами
Компания JFrog, специализирующаяся на безопасности, обнаружила утечку и сообщила о ней, подчеркнув потенциальную опасность, если бы токен был использован не по назначению. Злоумышленники могли внедрить вредоносный код в пакеты Python или в сам язык Python.
Этот инцидент, пишут аналитики, показывает, что одной очистки токенов из исходного кода недостаточно - учетные данные также могут быть встроены в переменные окружения, конфигурационные файлы и бинарные артефакты.
Утечка произошла, когда И Дурбин, директор по инфраструктуре PSF, добавил свой токен доступа, чтобы обойти ограничения скорости GitHub API во время сборки. Хотя токен предназначался только для локального использования, он был случайно включен в файлы .pyc и загружен в Docker Hub. После уведомления JFrog PSF незамедлительно отозвал токен и "не обнаружил никаких признаков вредоносной деятельности".