Grave vulnerabilità nei repository Python esposta per oltre un anno

Un grave incidente di sicurezza ha colpito la comunità Python. Un token di accesso GitHub con privilegi amministrativi, appartenente al direttore dell’infrastruttura della Python Software Foundation, è stato esposto per oltre un anno. Il token era incluso accidentalmente in un file binario, pubblicato come parte di un’immagine container su Docker Hub. Questo incidente evidenzia i limiti delle attuali pratiche di sicurezza: rimuovere i token solo dal codice sorgente non è sufficiente. Credenziali sensibili possono finire in vari luoghi come variabili d’ambiente, file di configurazione e artefatti binari a causa di processi di build automatizzati e errori degli sviluppatori. Il ritrovamento del token, avvenuto grazie ai ricercatori di una società di sicurezza, ha evitato gravi conseguenze potenziali, inclusa l’iniezione di codice malevolo nei pacchetti PyPI.