Ataque de Exfiltração de Tokens PyPI via Workflows do GitHub Actions
2025-09-20
Uma recente campanha de ataque visou workflows do GitHub Actions para roubar tokens de publicação PyPI. Os atacantes modificaram workflows em vários repositórios, enviando tokens PyPI armazenados como segredos do GitHub para servidores externos. Embora alguns tokens tenham sido exfiltrados, eles não foram usados no PyPI. Todos os tokens afetados foram invalidados e os mantenedores afetados foram notificados. Recomenda-se o uso dos Trusted Publishers do GitHub Actions para mitigar ataques futuros.
Desenvolvimento
Violação de Segurança