Раскрыта масштабная каскадная атака на GitHub Actions: подробности компрометации tj-actions/changed-files

CyberSecureFox 🦊

Специалисты компании Wiz провели расследование недавнего инцидента безопасности, связанного с компрометацией популярного GitHub Action tj-actions/changed-files. Эксперты установили, что инцидент является частью более масштабной каскадной атаки на цепочку поставок, которая началась со взлома другого компонента — reviewdog/action-setup@v1.

Масштаб и последствия атаки

Компрометация tj-actions/changed-files затронула более 23 000 организаций, использующих данный компонент в своих CI/CD-процессах. Внедренный злоумышленниками вредоносный код осуществлял запись конфиденциальных CI/CD-секретов в публичные журналы рабочих процессов, делая их доступными для любого пользователя GitHub.

Механизм каскадной атаки

Исследование показало, что первоначальной точкой компрометации стал пакет reviewdog/action-setup@v1. Злоумышленники внедрили в него вредоносный код, который похищал секреты CI/CD через лог-файлы. Поскольку tj-actions/eslint-changed-files использовал скомпрометированный reviewdog/action-setup, это позволило атакующим получить доступ к персональному токену доступа (PAT) сервисного аккаунта tj-actions-bot.

Технические детали атаки

Атакующие использовали сложную технику внедрения вредоносного кода, включающую полезную нагрузку в формате base64 в файл install.sh. Механизм атаки был направлен на извлечение конфиденциальных данных из рабочих процессов CI и их последующую публикацию в открытых логах.

Рекомендации по безопасности

Для минимизации рисков компрометации специалисты рекомендуют следующие меры:

  • Проверить репозитории на наличие ссылок на reviewdog/action-setup@v1
  • Исследовать логи рабочих процессов на предмет подозрительных base64-закодированных данных
  • Немедленно удалить ссылки на скомпрометированные Actions
  • Произвести ротацию всех потенциально раскрытых секретов

Данный инцидент подчеркивает критическую важность тщательного контроля над цепочкой поставок в современной разработке ПО. Организациям следует регулярно проводить аудит используемых компонентов и внедрять многоуровневую систему защиты для предотвращения подобных каскадных атак. Особое внимание стоит уделять управлению доступом и мониторингу активности в CI/CD-процессах.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.