5 сентября 2025 года GitGuardian обнародовал расследование кампании GhostAction — широкомасштабной атаки на цепочку поставок ПО, в результате которой были скомпрометированы учетные записи и репозитории разработчиков на GitHub. Операция, по данным расследования, затронула 327 пользователей и 817 репозиториев, где злоумышленники внедряли вредоносные GitHub workflows для кражи конфиденциальных секретов.
Что произошло
Первичное предупреждение, побудившее GitGuardian начать расследование, касалось возможного взлома проекта FastUUID. При дальнейшем анализе выяснилось, что внедрение вредоносного файла workflow выходило далеко за рамки одного репозитория. Отсутствие немедленных последующих действий со стороны злоумышленников в первые три дня свидетельствовало о том, что инцидент был частью более сложной и масштабной операции.
Технические детали атаки
- Злоумышленники внедряли вредоносные GitHub workflows, которые извлекали секреты из настроек CI/CD и отправляли их на удалённую конечную точку с помощью HTTP POST-запросов.
- В ходе операции было отфильтровано 3325 учетных данных — включая токены доступа и учетные данные для платформ PyPI, npm, DockerHub и AWS.
- Злоумышленники использовали полученные секреты для потенциального выпуска вредоносных пакетов и компрометации связанных сервисов и приложений.
Оценка воздействия и реакция
После выявления инцидента команда безопасности GitGuardian провела оценку воздействия и направила уведомления затронутым пользователям и проектам. Распространение последствий выглядело следующим образом:
- Всего по базе затронуто 817 репозиториев.
- В 100 репозиториях вредоносные изменения были отменены до получения предупреждений.
- GitGuardian создал проблемы (issues) для 573 из 717 оставшихся репозиториев; остальные либо были удалены, либо в них была отключена функция отслеживания проблем.
- Идентифицировано 24 пакета, которые в настоящее время подвержены риску вредоносных выпусков вследствие этой компрометации.
«Кампания GhostAction подчёркивает растущую угрозу, исходящую от атак на supply chain на платформах разработки программного обеспечения», — указывают авторы расследования.
Значение инцидента и выводы
Эпизод с GhostAction демонстрирует, насколько уязвимой может быть среда разработчиков при комбинированном использовании облачных сервисов, менеджеров пакетов и автоматизированных конвейеров CI/CD. Нацеленность злоумышленников на широко используемые сервисы и учетные данные значительно повышает риск распространения вредоносных компонентов через экосистемы, зависящие от этих пакетов.
Этот случай подчёркивает острую необходимость в надёжных мерах защиты: мониторинге integrity workflows, защите секретов, ограничении привилегий и быстрой реакции на инциденты в экосистемах разработки.
Короткая сводка ключевых цифр
- Пострадавшие пользователи: 327
- Скомпрометированные репозитории: 817
- Отфильтрованные учетные данные: 3325
- Платформы, для которых были украдены учетные данные: PyPI, npm, DockerHub, AWS
- Пакеты, подверженные риску вредоносных выпусков: 24
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GhostAction: атака цепочки поставок на GitHub компрометировала 817 репозиториев".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.