Дослідники з компанії Wiz розкрили деталі масштабної кібератаки на популярний GitHub Action компонент tj-actions/changed-files. Розслідування показало, що цей інцидент є частиною складної каскадної атаки на ланцюг постачання програмного забезпечення, яка розпочалася з компрометації компонента reviewdog/action-setup@v1.
Безпрецедентний масштаб кібератаки
За даними експертів, внаслідок компрометації tj-actions/changed-files під загрозою опинилися понад 23 000 організацій, які використовують цей компонент у своїх процесах безперервної інтеграції та розгортання (CI/CD). Зловмисники впровадили шкідливий код, який здійснював несанкціонований доступ до конфіденційних CI/CD-секретів та публікував їх у загальнодоступних журналах робочих процесів GitHub.
Технічний аналіз механізму атаки
Початковою точкою проникнення став пакет reviewdog/action-setup@v1. Зловмисники використали складну техніку впровадження шкідливого коду, включаючи корисне навантаження у форматі base64 у файл install.sh. Оскільки tj-actions/eslint-changed-files залежав від скомпрометованого компонента, атакуючі отримали доступ до персонального токену доступу (PAT) сервісного облікового запису tj-actions-bot.
Критичні заходи безпеки для організацій
Фахівці з кібербезпеки наполегливо рекомендують організаціям вжити наступних заходів:
- Провести аудит репозиторіїв на наявність залежностей від reviewdog/action-setup@v1
- Проаналізувати журнали CI/CD на предмет підозрілих base64-кодованих даних
- Терміново видалити посилання на скомпрометовані Actions
- Здійснити ротацію всіх потенційно розкритих секретів та облікових даних
Цей інцидент яскраво демонструє критичну важливість комплексного підходу до безпеки ланцюга постачання програмного забезпечення. Організаціям необхідно впроваджувати багаторівневу систему захисту, що включає регулярний аудит залежностей, суворий контроль доступу та постійний моніторинг активності в CI/CD-середовищах. Особливу увагу слід приділити перевірці та валідації сторонніх компонентів перед їх інтеграцією у виробничі процеси.
