Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как GitHub Action стал источником утечки данных

2
1 мин
Недавний инцидент с утечкой секретных данных в системах CI/CD начался с компрометации GitHub Action «reviewdog/action-setup@v1» и привёл к атаке на «tj-actions/changed-files». В результате вредоносный код оказался в 23 тыс. репозиториев, записывая конфиденциальные данные в журналы рабочего процесса. Если бы эти записи стали публичными, злоумышленники получили бы доступ к украденной информации. Разработчики проекта tj-actions не смогли установить, каким образом хакеры получили персональный токен доступа GitHub (PAT), использовавшийся для внесения вредоносных правок в код. Однако специалисты из Wiz выдвинули гипотезу, что атака развивалась каскадным способом, начавшись с другого компонента — «reviewdog/action-setup». Компания, занимающаяся кибербезопасностью, выяснила, что вначале злоумышленники изменили тег v1 для действия reviewdog/action-setup, внедрив в него код, перехватывающий секретные данные CI/CD и отправляющий их в файлы журналов. Так как проект tj-actions/eslint-changed-files
Изображение: Richy Great (unsplash)
Изображение: Richy Great (unsplash)

Недавний инцидент с утечкой секретных данных в системах CI/CD начался с компрометации GitHub Action «reviewdog/action-setup@v1» и привёл к атаке на «tj-actions/changed-files». В результате вредоносный код оказался в 23 тыс. репозиториев, записывая конфиденциальные данные в журналы рабочего процесса. Если бы эти записи стали публичными, злоумышленники получили бы доступ к украденной информации.

Разработчики проекта tj-actions не смогли установить, каким образом хакеры получили персональный токен доступа GitHub (PAT), использовавшийся для внесения вредоносных правок в код. Однако специалисты из Wiz выдвинули гипотезу, что атака развивалась каскадным способом, начавшись с другого компонента — «reviewdog/action-setup».

Компания, занимающаяся кибербезопасностью, выяснила, что вначале злоумышленники изменили тег v1 для действия reviewdog/action-setup, внедрив в него код, перехватывающий секретные данные CI/CD и отправляющий их в файлы журналов. Так как проект tj-actions/eslint-changed-files использует этот инструмент, есть вероятность, что именно на этом этапе был перехвачен персональный токен доступа tj-action.

Эксперты Wiz отмечают, что компрометация reviewdog/action-setup могла стать причиной утечки PAT tj-actions-bot. Они объясняют это тем, что проект tj-actions/eslint-changed-files интегрирован с reviewdog/action-setup@v1, а репозиторий tj-actions/changed-files запускает этот процесс, используя персональный токен. При этом взлом действия reviewdog совпадает по времени с атакой на PAT tj-actions.

Хакеры внедрили вредоносный код в файл install.sh, закодировав его с помощью base64. Этот код раскрывал секретные данные из задействованных рабочих процессов CI. Как и в случае с tj-actions, утечка информации становилась доступной в публичных репозиториях через журналы выполнения процессов.

Оригинал публикации на сайте CISOCLUB: "Хакерский взлом GitHub Action, привел к каскадной атаке на цепочку поставок".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются