Завершено комплексне розслідування масштабної каскадної атаки на GitHub Actions, яка спочатку здавалася катастрофічною за своїми масштабами. Експертний аналіз показав, що з 23 000 потенційно вразливих репозиторіїв, які використовували компонент tj-actions/changed-files, реальній компрометації піддалися лише 218. Особливо важливим відкриттям стало виявлення первинної цілі атаки – криптобіржі Coinbase.
Анатомія каскадної атаки: від початкового зламу до масового поширення
Дослідження виявило, що початковою точкою компрометації став компонент reviewdog/action-setup@v1. Зловмисники впровадили в нього шкідливий код, спрямований на витік CI/CD-секретів через журнали робочих процесів. Отримавши доступ до токену персонального доступу (PAT) tj-actions/eslint-changed-files, атакуючі змогли поширити шкідливий код далі по ланцюгу поставок, демонструючи класичний приклад атаки supply chain.
Реальні наслідки та масштаб впливу
За даними дослідження Endor Labs, протягом 14-15 березня 2025 року скомпрометований GitHub Action використовувався у 5416 репозиторіях від 4072 організацій. Проте фактичне виконання шкідливого коду відбулося лише у 614 випадках, з яких підтверджена компрометація секретів сталася у 218 репозиторіях. Більшість витоків стосувалася тимчасових токенів GitHub з 24-годинним терміном дії, хоча зафіксовані окремі випадки компрометації облікових даних DockerHub, npm та AWS.
Розкриття первинної цілі: спроба атаки на Coinbase
Спільне розслідування команд Palo Alto Unit 42 та Wiz встановило, що першочерговою ціллю атаки був фреймворк coinbase/agentkit. За дві години до початку масової атаки зловмисники отримали доступ до токену GitHub з правами на запис у репозиторій. Однак завдяки ефективній системі безпеки Coinbase спроба компрометації зазнала невдачі.
Практичні рекомендації щодо посилення захисту
Інцидент підкреслив критичну важливість дотримання передових практик безпеки при роботі з GitHub Actions. Ключовими заходами захисту є: використання SHA комітів замість змінюваних тегів, обмеження терміну дії токенів та ретельний моніторинг публічних журналів CI/CD процесів. Виявленим вразливостям присвоєно ідентифікатори CVE-2025-30154 та CVE-2025-30066.
Цей інцидент яскраво демонструє еволюцію атак на ланцюги поставок та необхідність впровадження комплексного підходу до захисту DevOps-процесів. Організаціям рекомендується регулярно проводити аудит використовуваних GitHub Actions, впроваджувати багаторівневі механізми захисту CI/CD pipeline та дотримуватися принципу найменших привілеїв при налаштуванні доступів.
