GitHub Actions 워크플로를 통한 PyPI 토큰 유출 공격

2025-09-20
GitHub Actions 워크플로를 통한 PyPI 토큰 유출 공격

최근 공격 캠페인은 GitHub Actions 워크플로를 표적으로 하여 PyPI 게시 토큰을 훔치려고 했습니다. 공격자는 다양한 저장소의 워크플로를 수정하여 GitHub 시크릿으로 저장된 PyPI 토큰을 외부 서버로 전송했습니다. 일부 토큰이 유출되었지만 PyPI에서는 사용되지 않은 것으로 보입니다. 영향을 받은 모든 토큰은 무효화되었고, 영향을 받은 프로젝트 관리자에게 알림이 전달되었습니다. 향후 공격을 완화하기 위해 GitHub Actions의 Trusted Publishers를 사용하는 것이 좋습니다.

개발 보안 위반