Githubアクションから人気のあるGithub Automationスクリプトをターゲットにしたサプライチェーン違反は、数百のオープンソースプロジェクトを危険にさらし、Githubトークン、AWSキー、Dockerhub資格情報などの繊細なCI/CDシークレットを公開しています。 href=”https://en.wikipedia.org/wiki/ci/cd”ターゲット=”_ blank”>連続配信(CI/CD)機能。開発者は、他のプロジェクト管理タスクだけでなく、ビルド、テスト、展開パイプラインを自動化できるようにします。スペシャリストステップセキュリティは、3月14日に始まりました。攻撃者は「変更されたファイル」コードに潜入し、有害なPythonスクリプトを注入しました。このスクリプトは、敏感なCI/CD資格情報を抽出し、ビルドログ内に表示することを目的としています。 23,000を超えるリポジトリで使用されるgithubアクションであるTJ-actions/chanded-filesの変更されたバージョンを公開しました。場合によっては、CI/CDビルドログを介して秘密もリークされました。
盗まれたデータは、ロシアにあるハードコーディングされたIPアドレスに送信されました。帰属は不明のままですが、外国のインフラストラクチャの使用は、Githubの信頼できる自動化ツールのエコシステムにおける体系的な脆弱性に関する懸念を強めています。セキュリティアナリストは、ReviewDog/Action-Setup@V1— Viaの以前の妥協が悪意のある依存関係のアップデートであることを発見しました。この上流の違反は、TJ-アクション/変更されたファイルの毒配備の基礎を築きました。 Target=”_ blank”> BleepingComputer 、インシデントのカスケードの性質は、Githubワークフローにおける相互依存のアクションの固有のリスクを強調します。単一の依存関係の妥協は、他の人を静かに汚染する可能性があります。毒物は、少なくとも218の既知のリポジトリに影響を与えるのに十分な期間、検出されずに動作しましたが、その広範な採用により真のリーチは高くなる可能性があります。 ステップセキュリティのハーデンランナー。アドレス。このツールでは、Egressフィルタリングを使用して、CIスクリプトが接触できるサービスを制限し、静的コードアナライザーがしばしば見逃している行動執行の層を提供します。これにより、影響を受けたリポジトリのより広範なレビューがトリガーされ、Githubの悪意のあるアクションのテイクダウンが開始されました。脆弱性と潜在的に悪意のある論理にフラグを立てるために設計された副操縦士のセキュリティは、ユーザー環境で実行される前に有毒なアクションを検出するために想定されています。静的分析は、既知の脆弱性を識別できますが、実行中にのみ現れるコマンドアンドコントロールの剥離などの動的な脅威を盲目にしていることがよくあります。 ただし、早期発見の欠如により、Githubの信頼モデルの精査とプラットフォームセキュリティのための自動化への依存が更新されました。これは、GitHubの社会的および評判に基づいた発見システムを標的とする乱用のより広範なパターンを反映しています。悪意のあるアクターは、一見合法的なリポジトリを通じてマルウェアを伝播するために、星、フォーク、コメントスレッドなど、信頼信号を繰り返し搾取しました。 Stargazer Goblinとして知られるグループは、2024年半ばに3,000を超えるアカウントをハイジャックして、ソフトウェアユーティリティとしてマスクされた悪意のあるコードを配布しました。他のキャンペーンは、コメントセクションにマルウェアを盗む資格を組み込んだキャンペーンを組み込み、トレンドプロジェクトを閲覧する開発者を欺くために偽のスターキャンペーンを展開しました。
これらの戦術は新しいものではありませんが、スケールはエスカレートしています。偽のGitHubリポジトリを活用する最近のマルウェアキャンペーンは、100万近くのデバイスに感染しています。攻撃者は、海賊版のストリーミングWebサイトからGitHubプロジェクトの侵害にリダイレクトされ、マルウェアペイロードを配布するためのプラットフォームの信頼性を活用しました。同社は現在、サードパーティのGithubアクションの管理方法の変更を調査しています。
これらの議論には、デフォルトの許可スコープの締め付け、メンテナーの変更またはパッケージが突然アクティビティを急増させたときのアラートを追加し、サードパーティコードを分離するためのサンドボクシングの拡大を拡大することが含まれます。自動化ツール
セキュリティの支持者は、静的なレビューやユーザーの審査のみに依存するのではなく、不正な動作のリアルタイム検出を提供する将来の保護のモデルとしての強化走者を指摘しています。しかし、Githubの信頼アーキテクチャが進化しない限り、プラットフォームはオープンデザインを利用する攻撃者の価値の高いターゲットであり続ける可能性があります。ただし、これらのスクリプトは、リポジトリコンテンツやCIシークレットへのアクセスなど、高い権限で実行されることがよくあります。信頼できるアクションが危険にさらされると、疑いなく使用するすべてのプロジェクト全体で結果が波及します。アクションの人気と機密環境変数へのアクセスにより、搾取の強力なベクターになりました。
セキュリティチームは、開発者にワークフローを監査し、許可を最小限に抑え、行動を完全に理解することなくサードパーティのアクションを統合することを避けるようアドバイスしています。より厳格なセーフガードが導入されるまで、Githubアクションの利便性は隠されたリスクを伴い続けます。