В современном мире разработки программного обеспечения безопасность становится одним из ключевых приоритетов. Особенно это касается крупных открытых экосистем и платформ, таких как Python Package Index (PyPI), который ежедневно обслуживает тысячи проектов и разработчиков. Недавно выявленная кампания по кражам токенов из GitHub Actions workflows проливает свет на угрозы, с которыми сталкиваются разработчики, использующие автоматизацию для публикации пакетов. Важность данного инцидента трудно переоценить, учитывая потенциальные последствия для безопасности программного обеспечения и экосистемы в целом. В начале сентября 2025 года был зафиксирован целенаправленный злонамеренный инцидент, где злоумышленники внедряли вредоносный код в workflows GitHub Actions с одной целью - кражу PyPI токенов.
Токены - это своего рода ключи доступа, которые позволяют разработчикам загружать свои пакеты на PyPI. Если эти ключи попадали в руки злоумышленников, это могло бы привести к публикации вредоносных или скомпрометированных версий пакетов, что крайне опасно как для разработчиков, так и для конечных пользователей библиотек. Однако, как отметили специалисты PyPI, сама платформа PyPI во время атаки не была скомпрометирована, и злоумышленники не смогли использовать украденные токены для загрузки вредоносного контента. Тем не менее, кейс указывает на значительную уязвимость - именно за счёт интеграции и хранения секретных токенов в репозиториях GitHub, которые часто используют автоматизацию через GitHub Actions. Атака была обнаружена сотрудником GitGuardian - организации, специализирующейся на безопасности кода и выявлении утечек.
Они использовали специальную кнопку на PyPI для флагирования проектов с подозрительной активностью, что и привело к детальному разбирательству. Одним из первых затронутых проектов был fastuuid, где были обнаружены вредоносные workflow. Это позволило оперативно запустить процесс оповещения и реагирования. Инцидент раскрывает глобальную проблему безопасности, связанную с управлением токенами и секретами в репозиториях кода. Многие разработчики хранят долгосрочные, неограниченные по времени действия токены в секрете GitHub, что даёт удобство, но одновременно создаёт серьезные риски безопасности.
Злоумышленники использовали поддельные, внедренные с помощью вредоносного кода workflow для отправки токенов на удалённые серверы, что позволяет им получить удалённый доступ к этим ключам. По выявлении инцидента PyPI провела масштабное реагирование: все затронутые токены были аннулированы, а владельцы проектов оповещены и получили рекомендации по восстановлению и усилению защиты. Важный урок из произошедшего заключается в том, что своевременное информирование и взаимодействие сообществ - жизненно необходимый элемент борьбы с киберугрозами. Одной из главных рекомендаций экспертов стало использование так называемых Trusted Publishers - более надёжных и современнейших механизмов аутентификации, которые GitHub внедряет для работы с автоматизацией. В отличие от традиционных долгоживущих токенов, Trusted Publishers используют токены с краткосрочным сроком действия и разрешениями, ограниченными конкретным репозиторием.
Такая практика значительно снижает вероятность успешной атаки через GitHub Actions workflows, поскольку даже если токен будет украден, его использование злоумышленником ограничено во времени и пространстве. Также рекомендуется регулярно проверять историю безопасности в аккаунте PyPI, чтобы заметить возможные подозрительные действия и своевременно среагировать. Кроме того, разработчикам советуют внимательно отслеживать свои CI/CD пайплайны и периодически аудировать настройки своих workflow на наличие непредвиденных изменений или неизвестных скриптов. Этот инцидент ещё раз подчёркивает, насколько важно сочетать удобство автоматизации с надлежащими мерами безопасности. GitHub Actions, как мощный и удобный инструмент, одновременно является и потенциальной точкой уязвимости, если оставлять без внимания вопросы защиты секретов и токенов.
В конечном счёте, каждая атака - это возможность для сообщества обновить и укрепить защитные механизмы, повысить безопасность всей экосистемы. Сотрудничество между платформами, организациями по безопасности и открытым сообществом позволяет быстрее выявлять и нейтрализовать угрозы. Кейс с кражей PyPI токенов благодаря командной работе GitGuardian и PyPI стал примером эффективного взаимодействия, которое помогает поддерживать доверие к экосистемам и защищать миллионы разработчиков по всему миру. В свете этой истории разрабатываются и внедряются новые стандарты и практики безопасности, поддерживающие надёжные цепочки поставок программного обеспечения. Все участники экосистемы, от индивидуальных разработчиков до крупных организаций, должны помнить о важности правильного обращения с токенами и секретами, регулярного обновления и внедрения современных методов защиты.
Это позволит избежать подобных инцидентов в будущем и сохранить целостность и надёжность всемирно используемых репозиториев и пакетов. Таким образом, недавняя кампания по кражам токенов через GitHub Actions workflows стала серьёзным напоминанием разработчикам о необходимости внимательного отношения к безопасности своих проектов. Внедрение Trusted Publishers, постоянный мониторинг аккаунтов и своевременная реакция на инциденты - ключевые составляющие надёжной защиты. Современные инструменты и совместные усилия сообщества помогут минимизировать риски и обеспечить безопасную и ответственную разработку в экосистеме Python. .
![Deep Blue – Down the Rabbit Hole [video]](/images/63B4A3B4-2BEA-48F7-B921-F54CC39F0868)
![Norton, XTree, PC Tools and Popular MS-DOS File Managers [video]](/images/369FF9B1-7376-4BCC-827C-0DC22758C640)
