23 000 компании са изложени на риск: зловреден код в GitHub Actions краде паролите
Хакери са модифицирали tj-actions/changed-files, с цел да копират идентификационните данни от паметта на сървъра.
Програмното обезпечаване с отворен код, употребявано от повече от 23 000 организации, бе компрометирано със злотворен код, който краде идентификационните данни. Хакерите са получили неоторизиран достъп до акаунта на един от поддръжниците на плана, което е довело до огромна офанзива против веригата за даване на услуги.
Целта на офанзивата е била tj-actions/changed-files, известен инструмент в GitHub Actions, който оказва помощ за автоматизирането на процесите при създаването. Нападателите са създали промени в кода, които са го предиздвикали да копира наличието на паметта на сървърите, да извлича идентификационните данни и да ги записва в лог файлове. В резултат на това хиляди складове, които са се доверили на инструмента, без да го желаят, обществено са разкрили своите секретни ключове и пароли.
Експерти по сигурността означават, че уязвимостта на GitHub Actions се състои във опцията за смяна на кода и достъпа до секретните променливи без строга инспекция. Много консуматори не записват към този момент закрепените версии на кода, а вместо това употребяват общи тагове, което разрешава на хакерите да манипулират файловете, без да бъдат открити.
Подозрителната активност е видяна за първи път от откриватели на StepSecurity, които откриват непредвидена мрежова връзка. Не след дълго откривателите на Wiz потвърдиха, че при офанзивата са изтекли данни, в това число ключовете за достъп до AWS, персоналните токени за достъп до GitHub, npm токените и частните RSA ключове. Според тези данни наранени са десетки складове, в това число и корпоративни складове.
Поддържащият плана tj-actions удостовери, че нападателите са получили достъп до идентификационните данни на @tj-actions-bot, само че методът на компрометиране е незнаен. Паролата е изменена и акаунтът към този момент употребява passkey, механизъм за двуфакторно засвидетелствуване по стандарта FIDO, за спомагателна отбрана.
От GitHub обявиха, че инфраструктурата им не е била компрометирана. Като защитна мярка компанията краткотрайно е спряла сметките, свързани с офанзивата, и е премахнала злонамерените промени. Достъпът е възобновен след отстраняването на опасността.
Инцидентът акцентира заплахите от офанзиви по веригата за даване на услуги в екосистемата с отворен код. Миналата година сходна офанзива се случи с xz Utils, стратегия за компресиране на данни, при която нападателите сътвориха задна малка врата, която даваше опция за фаворизиран достъп до сървърите.
На админите се предлага неотложно да ревизират системите си за допустимо компрометиране и да преразгледат политиката си за сигурност, като употребяват единствено утвърдените версии на кода, а не общи тагове. Подробни указания за отбрана са оповестени от специалисти от StepSecurity, Wiz и Semgrep.
Съвсем неотдавна бе обявено за друга офанзива, ориентирана към разработчиците на GitHub. Нападателите са употребявали фишинг акция и са изпратили подправени сигнали за сигурност, съобщаващи за „ необикновен опит за влизане “ от IP адрес в Исландия. В тези имейли се предлага незабавна актуализация на паролата и активиране на двуфакторна автентикация, само че линковете водят до зловредното OAuth приложение „ gitsecurityapp “.
Зловредното приложение искаше идентификационните данни, които даваха опция за цялостен надзор върху хранилищата на жертвата, ръководство на потребителите, смяна на полемиките, работа с организациите и заличаване на хранилищата. След въвеждане на данните приложението генерираше токена на OAuth и го изпращаше на далечен сървър, предоставяйки на хакерите цялостен надзор върху компрометирания акаунт. Атаката е засегнала към 12 000 складове.
