Новости 23 000 компаний под ударом: вредоносный код в GitHub Actions похищает пароли

[NewsMaker]

Хакеры модифицировали tj-actions/changed-files, чтобы копировать учетные данные из памяти серверов.

---

---

Программное обеспечение с открытым исходным кодом, используемое более чем 23 000 организациями, было скомпрометировано вредоносным кодом, похищающим учетные данные. Хакеры получили несанкционированный доступ к учетной записи одного из сопровождающих проекта, что привело к серьезной атаке на цепочку поставок.

Целью атаки стал Для просмотра ссылки Войди или Зарегистрируйся — популярный инструмент в Для просмотра ссылки Войди или Зарегистрируйся , который помогает автоматизировать процессы в разработке. Злоумышленники внесли изменения в код, из-за чего он начал копировать содержимое памяти серверов, извлекать учетные данные и записывать их в лог-файлы. В результате тысячи репозиториев, доверявших этому инструменту, раскрыли свои секретные ключи и пароли в открытом доступе.

Эксперты в области безопасности отмечают, что Для просмотра ссылки Войди или Зарегистрируйся GitHub Actions заключается в возможности изменять код и получать доступ к секретным переменным без строгой проверки. Многие пользователи не закрепляют зафиксированные версии кода, а используют общие теги, что позволяет Для просмотра ссылки Войди или Зарегистрируйся подменять файлы без обнаружения.

Подозрительная активность была впервые Для просмотра ссылки Войди или Зарегистрируйся специалистами StepSecurity, которые зафиксировали неожиданное сетевое подключение. Вскоре исследователи из Wiz Для просмотра ссылки Войди или Зарегистрируйся , что атака привела к утечке данных, включая ключи доступа AWS, GitHub Personal Access Tokens, токены npm и закрытые RSA-ключи. По их данным, затронуты десятки репозиториев, в том числе корпоративных.

Сопровождающий проекта tj-actions Для просмотра ссылки Войди или Зарегистрируйся , что злоумышленники получили доступ к учетным данным бота @tj-actions-bot, однако способ компрометации неизвестен. Пароль был изменен, а для дополнительной защиты аккаунт теперь использует passkey — механизм двухфакторной аутентификации по стандарту FIDO.

GitHub заявил, что его инфраструктура не была взломана. В рамках предосторожности компания временно приостановила работу учетных записей, связанных с атакой, и удалила вредоносные изменения. После устранения угрозы доступ был восстановлен.

Инцидент подчеркивает опасность атак на цепочку поставок в экосистеме с открытым исходным кодом. В прошлом году аналогичная атака Для просмотра ссылки Войди или Зарегистрируйся с xz Utils — утилитой сжатия данных, где злоумышленники заложили бэкдор, позволявший получать привилегированный доступ к серверам.

Администраторам рекомендуется немедленно проверить свои системы на предмет компрометации и пересмотреть политику безопасности, используя только зафиксированные версии кода, а не общие теги. Подробные инструкции по защите опубликованы экспертами из StepSecurity, Wiz и Для просмотра ссылки Войди или Зарегистрируйся .

Ранее Для просмотра ссылки Войди или Зарегистрируйся о другой атаке, нацеленной на разработчиков GitHub. Злоумышленники использовали фишинговую кампанию, рассылали поддельные предупреждения безопасности, сообщая о «необычной попытке входа» с IP-адреса в Исландии. Эти письма предлагали срочно обновить пароль и включить двухфакторную аутентификацию, но ссылки вели на вредоносное OAuth-приложение «gitsecurityapp».

Вредоносное приложение запрашивало полномочия, позволяющие полностью контролировать репозитории жертвы, управлять пользователем, изменять обсуждения, работать с организациями, а также удалять репозитории. После ввода данных приложение генерировало OAuth-токен и отправляло его на удалённый сервер, предоставляя хакерам полный контроль над скомпрометированной учётной записью. Атака затронула около 12 000 репозиториев.