Angreifer hätten mit dem Token beispielsweise Schadcode in Python-Kernbibliotheken einschleusen können - und damit in unzählige Softwareprojekte.

Sicherheitsforscher von JFrog haben in einem öffentlich zugänglichen Docker-Container ein Zugangstoken entdeckt, das seinem Besitzer weitreichende Zugriffe auf offizielle Github-Repositories der Python Software Foundation verschaffte. In einem Blogbeitrag geben die Forscher an, mit ihrer Entdeckung womöglich sogar den schlimmsten Supply-Chain-Angriff verhindert zu haben, den man sich vorstellen könne.

Das besagte Zugangstoken sei mit einem Admin-Zugriff auf zentrale Repositories der Python-Infrastruktur ausgestattet gewesen. Angreifer hätten damit etwa Schadcode in weitverbreitete PyPI-Pakete oder gar in die Python-Sprache selbst einschleusen können.