利用Git分支名称入侵PyPI软件包

2024-12-09

一个名为ultralytics的Python包在PyPI上发布了一个被入侵的版本。攻击者利用了该项目自动化处理拉取请求的机制,在分支名称中注入了恶意脚本。ultralytics使用了pull_request_target GitHub Action触发器,该触发器运行的脚本可以访问存储库的secrets,但容易受到来自拉取请求分支名称的shell注入攻击。注入的脚本利用获取的凭证在后续上传到PyPI的版本中包含了加密货币挖矿程序。虽然GitHub已删除恶意脚本,但此次事件提醒开发者谨慎处理自动化访问重要secrets的机制。

109
未分类 PyPI安全