Un descuido con un token de GitHub pudo haber puesto en riesgo todo el lenguaje Python.

El lenguaje de programación Python estuvo a punto de enfrentar un grave riesgo de seguridad cuando un token importante de GitHub se filtró accidentalmente en un contenedor público de Docker. Investigadores de ciberseguridad de JFrog descubrieron recientemente un Token de Acceso Personal de GitHub en un contenedor de Docker alojado en Docker Hub, que otorgaba acceso elevado a los repositorios de GitHub del lenguaje Python, el Índice de Paquetes de Python (PyPI) y la Fundación de Software de Python (PSF). Este incidente fue catalogado como excepcional dada la posibilidad de inyectar código malicioso en los paquetes de PyPI y en el propio lenguaje Python si hubiera caído en manos equivocadas. El token estuvo expuesto durante meses dentro de un archivo Python compilado que no fue eliminado por error. Aunque se determinó que el token fue emitido antes del 3 de marzo de 2023, la fecha exacta no pudo ser establecida debido a la limitación de los registros a 90 días. El token fue revocado después de notificar a PyPI Admin Ee Durbin el 28 de junio de este año. PyPI, como la principal fuente de paquetes de Python a nivel mundial, es un objetivo muy atractivo para los ciberdelincuentes interesados en ataques de cadena de suministro. Numerosas organizaciones, incluidas grandes empresas como Google, Microsoft, Amazon y Apple, utilizan PyPI en sus productos de software, lo que aumenta el impacto potencial de cualquier ataque cibernético. Recientemente, en marzo de 2024, la plataforma se vio obligada a suspender el registro de nuevas cuentas y proyectos para hacer frente a un ciberataque a gran escala en el que los actores malintencionados intentaron subir cientos de paquetes maliciosos. Este incidente destaca la importancia de fortalecer la seguridad en plataformas clave como PyPI para proteger a los desarrolladores y usuarios de posibles amenazas en línea.