GitHub сообщил о подготовке комплекса мер против атак на цепочки поставок, которые в последние месяцы спровоцировали ряд крупных инцидентов в экосистемах GitHub и npm. Компания заявляет о переходе к более проактивной модели защиты, сохраняя при этом совместимость с существующими процессами и предоставляя подробные миграционные гайды.
Серия инцидентов: от s1ngularity до Shai-Hulud
По данным платформы, волна атак началась с компрометации репозиториев и дальнейшего проникновения в реестр npm. В начале августа кампания s1ngularity привела к раскрытию данных 2 180 аккаунтов и затронула около 7 200 репозиториев. Уже в сентябре кампания GhostAction спровоцировала массовую утечку секретов: токены PyPI, npm, DockerHub и GitHub, а также API‑ключи Cloudflare и AWS оказались под угрозой. На прошлой неделе в npm был выявлен самораспространяющийся червь Shai-Hulud, что подчеркнуло масштаб и скорость таких атак.
Какие меры анонсирует GitHub для npm и репозиториев
Представители GitHub подтвердили поэтапное внедрение изменений с подробной документацией, чтобы минимизировать риски для рабочих процессов. В центре внимания — снижение вероятности компрометации секретов и повышение стойкости процессов публикации пакетов.
Доверенная публикация (Trusted Publishing)
GitHub рекомендует мейнтейнерам переходить на доверенную публикацию, уже используемую в ряде экосистем. Такой подход устраняет необходимость хранить и проксировать долгоживущие API‑токены в CI/CD: вместо них применяется установление доверия между конвейером сборки и реестром (например, через OIDC), что заметно снижает поверхность атаки при компрометациях сборочной инфраструктуры.
Двухфакторная аутентификация и WebAuthn
Мейнтейнерам npm настоятельно рекомендуется немедленно включить обязательную 2FA для операций публикации и записи, а в качестве второго фактора использовать WebAuthn вместо TOTP. Ключи безопасности и WebAuthn считаются более стойкими к фишингу и атакам перехвата кода, что подтверждается практикой ведущих платформ и рекомендациями отрасли.
Почему атаки на цепочку поставок опасны
Компрометация репозитория или CI может незаметно внедрять вредоносный код в пакеты, откуда он быстро распространяется по зависимостям. Утечка секретов (токенов, ключей) повышает вероятность эскалации доступа и подмены артефактов. Отраслевые отчеты (например, ENISA и профильные аналитики DevSecOps) отмечают устойчивый рост атак на цепочки поставок; киберпреступники нацелены на узлы распространения кода, где единичная компрометация создает эффект домино.
Что происходит в экосистеме RubyGems
Параллельно усиливает защиту и RubyGems. В июне на площадке выявляли пакеты, имитировавшие Fastlane и похищавшие данные API Telegram, а в августе обнаружили 60 вредоносных пакетов, суммарно скачанных более 275 000 раз. Пока новая модель управления не утверждена, админские права сохраняются за командой Ruby Central. Заявлен переход к более прозрачному управлению с вовлечением сообщества, хотя часть участников восприняла эти шаги как «жесткую централизацию» полномочий.
Безопасность экосистемы — коллективная ответственность, подчеркивают в GitHub. Организациям и мейнтейнерам целесообразно: ускорить переход на Trusted Publishing, принудительно включить 2FA с WebAuthn, регулярно инвентаризировать и ротировать секреты, ужесточить политики прав (минимально необходимые разрешения для токенов), закрепить зависимости и воспроизводимость сборок, а также внедрить непрерывный мониторинг и автоматическое реагирование. Практики этого уровня снижают вероятность компрометаций и повышают устойчивость цепочек поставок к новым кампаниям вроде GhostAction и Shai-Hulud.
