Një shkelje e zinxhirit të furnizimit që synon një skenar të njohur të automatizimit GitHub nga Github Actions ka kompromentuar qindra projekte me burim të hapur, duke ekspozuar sekretet e ndjeshme të CI/CD, siç janë shenjat e GitHubit, çelësat AWS, dhe kredencialet e Dockerhub. href=”https://en.wikipedia.org/wiki/ci/cd”target=”_ bosh”> Dorëzimi i vazhdueshëm (CI/CD) Aftësitë. Ai lejon zhvilluesit të automatizojnë tubacionet e tyre të ndërtimit, testimit dhe vendosjes, si dhe detyra të tjera të menaxhimit të projektit. Stepecurance , filloi në 14 Mars. Një sulmues depërtoi në kodin’e ndryshuar-Files’, duke injektuar një skenar të dëmshëm Python. Ky skenar synonte të nxirrte kredencialet e ndjeshme të CI/CD dhe t’i shfaqë ato brenda shkrimeve të ndërtimit. Botuar një version të modifikuar të TJ-veprimeve/Files të ndryshuara, një veprim GitHub i përdorur në më shumë se 23,000 depo. Në disa raste, sekretet u zbuluan gjithashtu përmes shkrimeve të ndërtimit CI/CD.
Të dhënat e vjedhura u transmetuan në një adresë IP të koduar të vendosur në Rusi. Ndërsa atribuimi mbetet i paqartë, përdorimi i infrastrukturës së huaj ka intensifikuar shqetësimet në lidhje me dobësitë sistemike në ekosistemin e Github të mjeteve të automatizimit të besuar. Analistët e sigurisë zbuluan se një kompromis i mëparshëm i Rishikimit/Action-Setup@V1-VIA një azhurnim i varësisë me qëllim të keq-me sa duket i lejoi sulmuesit të drejtojë anash në të gjithë projektet. Kjo shkelje në rrjedhën e sipërme vendosi bazat për vendosjen e helmuar të TJ-veprimeve/Files të ndryshuara. Target=”_ bosh”> Bleepingcomputer , natyra kaskaduese e incidentit nënvizon rreziqet e qenësishme të veprimeve të ndërvarura në rrjedhën e punës të GitHub, ku kompromisi i një varësie të vetme mund të ndodhë në heshtje të tjerët. Veprimi i helmuar ka funksionuar i pazbuluar për një periudhë të mjaftueshme për të prekur të paktën 218 depo të njohura, megjithëse arritja e vërtetë mund të jetë më e lartë për shkak të adoptimit të tij të përhapur. StepSecurity’s Harden-Runner, which enforces outbound traffic restrictions during CI builds, flagged a suspicious workflow making external network calls to an unknown IP Adresa. Mjeti përdor filtrimin e Egress për të kufizuar se cilat shërbime skriptet CI mund të kontaktojnë, duke siguruar një shtresë të zbatimit të sjelljes që analizuesit e kodit statik shpesh humbasin. Kjo shkaktoi një përmbledhje më të gjerë të depove të prekura dhe inicioi marrjen e Github për veprimin me qëllim të keq. Siguria-e dizajnuar për dobësitë e flamurit dhe logjikën potencialisht të keqe-të lagura për të zbuluar veprimin e helmuar para se të ekzekutohej në mjediset e përdoruesve. Analiza statike mund të identifikojë dobësitë e njohura, por shpesh është e verbër ndaj kërcënimeve dinamike si ekzekutimi i komandës dhe kontrollit, i cili manifestohet vetëm gjatë ekzekutimit.
GitHub ka hequr veprimin e kompromentuar nga tregu dhe po kontakton përdoruesit e prekur. Sidoqoftë, mungesa e zbulimit të hershëm ka rinovuar kontrollin e modelit të besimit të Github dhe besimin e tij në automatizimin për sigurinë e platformës. Ai pasqyron një model më të gjerë të abuzimit që synon sistemet e zbulimit social dhe të bazuar në reputacion të GitHub. Aktorët me qëllim të keq kanë shfrytëzuar vazhdimisht sinjalet e besimit-siç janë yjet, pirunët dhe temat e komenteve-për të përhapur malware përmes depove në dukje të ligjshme. Një grup i njohur si Stargazer Goblin rrëmbeu mbi 3,000 llogari në mesin e vitit 2024 për të shpërndarë kodin me qëllim të keq të maskuar si shërbime kompjuterike. Fushatat e tjera ngulitën malware-vjedhje të kredencialeve në seksione komentesh dhe vendosën fushata të rreme të yjeve për të mashtruar zhvilluesit që shfletojnë projektet e tendencave.
Këto taktika nuk janë të reja, por shkalla po përshkallëzohet. Një fushatë e fundit malware që shfrytëzon depot e rreme të GitHub ka infektuar gati një milion pajisje. Sulmuesit ridrejtuan përdoruesit nga faqet e internetit të piratimit të rrjedhës për të kompromentuar projektet e GitHub, duke shfrytëzuar besueshmërinë e platformës për shpërndarjen e ngarkesave të malware. Kompania tani po eksploron ndryshimet në mënyrën se si menaxhohen veprimet e palëve të treta GitHub. Mjetet e automatizimit të kontribuar nga komuniteti. Por nëse arkitektura e besimit të Github evoluon, platforma mund të vazhdojë të jetë një objektiv me vlerë të lartë për sulmuesit që shfrytëzojnë modelin e saj të hapur. Sidoqoftë, këto shkrime shpesh funksionojnë me leje të ngritura, duke përfshirë qasjen në përmbajtjen e depove dhe sekretet CI. Kur një veprim i besueshëm është i kompromentuar, pasojat zbriten në çdo projekt që e përdor atë pa diskutim. Popullariteti i veprimit dhe qasja e tij në variablat e mjedisit të ndjeshëm e bënë atë një vektor të fuqishëm për shfrytëzim. Derisa të vendosen masa mbrojtëse më rigoroze, komoditeti i veprimeve të GitHub do të vazhdojë të vijë me rreziqe të fshehura.
