Експерти з кібербезпеки компанії Palo Alto Networks оприлюднили результати розслідування безпрецедентної атаки на екосистему GitHub Actions, яка призвела до компрометації понад 23 000 репозиторіїв. Початком інциденту стало успішне проникнення зловмисників до популярного інструменту статичного аналізу коду SpotBugs у листопаді 2024 року.

Механізм проведення багатоетапної атаки

Розслідування виявило, що первинним вектором атаки став Personal Access Token (PAT), необачно доданий розробником SpotBugs до CI-пайплайну. Зловмисники використали вразливість у механізмі pull_request_target, надіславши шкідливий пулл-реквест для викрадення токену. Отримавши доступ, атакуючі розширили периметр компрометації на інші критичні проекти, включаючи Reviewdog та tj-actions/changed-files.

Технічні особливості компрометації

Атака характеризувалася складною багатоетапною структурою. Після отримання початкового доступу зловмисники впровадили шкідливий код у популярний пакет tj-actions/changed-files. Модифікований компонент здійснював несанкціоноване збирання конфіденційних даних з процесів CI/CD та їх експорт через публічні логи.

Масштаби впливу та цільові активи

В ході атаки було скомпрометовано конфіденційні дані 218 репозиторіїв. Особливу увагу зловмисники приділили проектам криптовалютної біржі Coinbase, проте, за офіційними даними компанії, спроба проникнення в їхню інфраструктуру виявилася невдалою.

Виявлені недоліки в архітектурі GitHub Actions

Інцидент висвітлив критичні вразливості в системі безпеки GitHub Actions, зокрема недосконалості механізму управління тегами та обмежені можливості аудиту користувацьких дій. Особливе занепокоєння викликає можливість модифікації існуючих тегів та недостатній контроль ланцюжка довіри між взаємопов’язаними репозиторіями.

Для мінімізації ризиків подібних інцидентів фахівці рекомендують негайно оновити всі секрети в потенційно скомпрометованих репозиторіях та провести ретельний аудит логів GitHub Actions за період 10-14 березня 2025 року. Критично важливо перевірити наявність конфіденційної інформації в base64-кодованих даних. Цей випадок демонструє необхідність регулярного аудиту безпеки та впровадження принципу мінімальних привілеїв при налаштуванні CI/CD-процесів.