Специалисты компании Wiz провели расследование недавнего инцидента безопасности, связанного с компрометацией популярного GitHub Action tj-actions/changed-files. Эксперты установили, что инцидент является частью более масштабной каскадной атаки на цепочку поставок, которая началась со взлома другого компонента — reviewdog/action-setup@v1.
Масштаб и последствия атаки
Компрометация tj-actions/changed-files затронула более 23 000 организаций, использующих данный компонент в своих CI/CD-процессах. Внедренный злоумышленниками вредоносный код осуществлял запись конфиденциальных CI/CD-секретов в публичные журналы рабочих процессов, делая их доступными для любого пользователя GitHub.
Механизм каскадной атаки
Исследование показало, что первоначальной точкой компрометации стал пакет reviewdog/action-setup@v1. Злоумышленники внедрили в него вредоносный код, который похищал секреты CI/CD через лог-файлы. Поскольку tj-actions/eslint-changed-files использовал скомпрометированный reviewdog/action-setup, это позволило атакующим получить доступ к персональному токену доступа (PAT) сервисного аккаунта tj-actions-bot.
Технические детали атаки
Атакующие использовали сложную технику внедрения вредоносного кода, включающую полезную нагрузку в формате base64 в файл install.sh. Механизм атаки был направлен на извлечение конфиденциальных данных из рабочих процессов CI и их последующую публикацию в открытых логах.
Рекомендации по безопасности
Для минимизации рисков компрометации специалисты рекомендуют следующие меры:
- Проверить репозитории на наличие ссылок на reviewdog/action-setup@v1
- Исследовать логи рабочих процессов на предмет подозрительных base64-закодированных данных
- Немедленно удалить ссылки на скомпрометированные Actions
- Произвести ротацию всех потенциально раскрытых секретов
Данный инцидент подчеркивает критическую важность тщательного контроля над цепочкой поставок в современной разработке ПО. Организациям следует регулярно проводить аудит используемых компонентов и внедрять многоуровневую систему защиты для предотвращения подобных каскадных атак. Особое внимание стоит уделять управлению доступом и мониторингу активности в CI/CD-процессах.
