GitHub Actionsワークフローを介したPyPIトークンの流出攻撃
2025-09-20
最近の攻撃キャンペーンでは、GitHub Actionsワークフローを標的にしてPyPI公開トークンを盗もうとしました。攻撃者は様々なリポジトリのワークフローを変更し、GitHubシークレットとして保存されているPyPIトークンを外部サーバーに送信しました。一部のトークンは流出しましたが、PyPIでは使用されなかったようです。影響を受けたすべてのトークンは無効化され、影響を受けたプロジェクトのメンテナに通知されました。今後の攻撃を軽減するために、GitHub ActionsのTrusted Publishersを使用することをお勧めします。
開発
セキュリティ侵害