การฝ่าฝืนห่วงโซ่อุปทานที่กำหนดเป้าหมายสคริปต์ระบบอัตโนมัติ GitHub ยอดนิยมจากการกระทำของ GitHub ได้ลดลงหลายร้อยโครงการโอเพนซอร์สเปิดเผยความลับ CI/CD ที่ละเอียดอ่อนเช่นโทเค็น GitHub คีย์ AWS และ DockerHub การรวมตัวกัน href=”https://en.wikipedia.org/wiki/ci/cd”target=”_ blank”> การจัดส่งอย่างต่อเนื่อง (ci/cd) ความสามารถ ช่วยให้นักพัฒนาสามารถสร้างการทดสอบและการปรับใช้โดยอัตโนมัติรวมถึงงานการจัดการโครงการอื่น ๆ
ห่วงโซ่การประนีประนอม
นักวิเคราะห์ความปลอดภัยค้นพบว่าการประนีประนอมก่อนหน้านี้ของ ReviewDog/Action-Setup@V1-มีการอัปเดตการพึ่งพาอาศัยที่เป็นอันตราย-Likely อนุญาตให้ผู้โจมตีสามารถหมุนตัวได้ในด้านข้างในโครงการ การฝ่าฝืนต้นน้ำนี้วางรากฐานสำหรับการปรับใช้พิษของ tj-actions/การเปลี่ยนแปลงไฟล์
ตาม bleepingcomputer ธรรมชาติที่เรียงซ้อนกันของเหตุการณ์เน้นความเสี่ยงโดยธรรมชาติของการกระทำที่พึ่งพาซึ่งกันและกันในเวิร์กโฟลว์ gitHub ที่การประนีประนอมของการพึ่งพาอาศัยกันอย่างเงียบ ๆ การกระทำที่เป็นพิษดำเนินการไม่ถูกตรวจพบในช่วงเวลาที่เพียงพอที่จะส่งผลกระทบอย่างน้อย 218 ที่รู้จักกันดีถึงแม้ว่าการเข้าถึงที่แท้จริงอาจสูงขึ้นเนื่องจากการยอมรับอย่างกว้างขวาง
การตรวจจับที่เกิดจากการตรวจสอบที่แข็ง stepecurity runner ที่ไม่รู้จัก ที่อยู่.
ตรวจพบการทำงานของเวิร์กโฟลว์ซึ่งการกระทำของ TJ-Actions/Cownture-Files พยายามส่งข้อมูลไปยังที่อยู่ IP ที่ไม่เกี่ยวข้องกับ GitHub หรือผู้ให้บริการที่รู้จัก เครื่องมือนี้ใช้การกรอง egress เพื่อ จำกัด บริการสคริปต์ CI ที่สามารถติดต่อได้โดยให้เลเยอร์ของการบังคับใช้พฤติกรรมที่เครื่องวิเคราะห์รหัสแบบคงที่มักจะพลาด
เมื่อตรวจจับกิจกรรม Telemetry ของ Stepecurity ยืนยันว่าความลับถูกขัดผิวอย่างแข็งขัน สิ่งนี้ก่อให้เกิดการทบทวนที่กว้างขึ้นของที่เก็บที่ได้รับผลกระทบและเริ่มต้นการจับกุมที่เป็นอันตรายของ GitHub
ระบบตรวจจับของ Microsoft ต่ำกว่า
แม้จะมีการรวมตัวกันอย่างลึกซึ้งของ GitHub ความปลอดภัย-ออกแบบมาเพื่อตั้งค่าสถานะช่องโหว่และตรรกะที่อาจเป็นอันตราย-ได้รับการตรวจสอบการกระทำที่เป็นพิษก่อนที่มันจะถูกดำเนินการในสภาพแวดล้อมของผู้ใช้
สิ่งนี้ทำให้เกิดการวิพากษ์วิจารณ์จากผู้เชี่ยวชาญด้านความปลอดภัยที่ยืนยันว่าเครื่องมือ AI เพียงอย่างเดียวนั้นไม่เพียงพอ การวิเคราะห์แบบคงที่สามารถระบุช่องโหว่ที่รู้จัก แต่มักจะตาบอดต่อภัยคุกคามแบบไดนามิกเช่นการกรองคำสั่งและควบคุมซึ่งปรากฏเฉพาะในระหว่างการดำเนินการ
GitHub ได้ลบการกระทำที่ถูกบุกรุกออกจากตลาดและติดต่อผู้ใช้ที่ได้รับผลกระทบ อย่างไรก็ตามการขาดการตรวจจับในช่วงต้นได้ทำการตรวจสอบรูปแบบความน่าเชื่อถือของ GitHub และการพึ่งพาระบบอัตโนมัติเพื่อความปลอดภัยของแพลตฟอร์ม
การใช้สัญญาณ GitHub Trust Trust
เหตุการณ์ `tj-actions` ไม่เกิดขึ้น มันสะท้อนให้เห็นถึงรูปแบบที่กว้างขึ้นของการละเมิดที่กำหนดเป้าหมายระบบการค้นพบทางสังคมและชื่อเสียงของ GitHub นักแสดงที่เป็นอันตรายได้ใช้สัญญาณความน่าเชื่อถือซ้ำ ๆ เช่นดาวส้อมและความคิดเห็นหัวข้อ-เพื่อเผยแพร่มัลแวร์ผ่านที่เก็บที่ถูกต้องตามกฎหมาย
ผู้โจมตีก่อนหน้านี้ กลุ่มที่รู้จักกันในชื่อ Stargazer Goblin ได้ทำการขายมากกว่า 3,000 บัญชีในช่วงกลางปี 2567 เพื่อแจกจ่ายรหัสที่เป็นอันตรายสวมหน้ากากเป็นยูทิลิตี้ซอฟต์แวร์ แคมเปญอื่น ๆ ที่ฝังอยู่มัลแวร์การขโมยข้อมูลรับรองในส่วนความคิดเห็นและปรับใช้แคมเปญดาวปลอมเพื่อหลอกลวงนักพัฒนาที่เรียกดูโครงการที่ได้รับความนิยม
กลยุทธ์เหล่านี้ไม่ได้ใหม่ แต่มาตราส่วนเพิ่มขึ้น แคมเปญมัลแวร์เมื่อเร็ว ๆ นี้ใช้ประโยชน์จากที่เก็บ GitHub ปลอมได้ติดเชื้ออุปกรณ์เกือบหนึ่งล้านเครื่อง ผู้โจมตีเปลี่ยนเส้นทางผู้ใช้จากเว็บไซต์สตรีมการละเมิดลิขสิทธิ์ไปยังโครงการ GitHub ที่ถูกบุกรุกโดยใช้ประโยชน์จากความน่าเชื่อถือของแพลตฟอร์มในการแจกจ่าย Payloads มัลแวร์
การตอบสนองของ GitHub และการปฏิรูปนโยบายที่อาจเกิดขึ้น
เพื่อตอบสนองต่อเหตุการณ์ปัจจุบัน มัน. ขณะนี้ บริษัท กำลังสำรวจการเปลี่ยนแปลงวิธีการจัดการการกระทำของ GitHub ของบุคคลที่สาม
การอภิปรายเหล่านี้มีรายงานว่ารวมถึงขอบเขตการอนุญาตเริ่มต้นที่เข้มงวดการเพิ่มการแจ้งเตือนเมื่อผู้ดูแลการเปลี่ยนแปลงหรือแพ็คเกจเกิดขึ้นทันทีในกิจกรรม เครื่องมืออัตโนมัติที่มีชุมชนที่มีผู้สนับสนุน
ผู้สนับสนุนความปลอดภัยชี้ไปที่ Harden-Runner เป็นแบบจำลองสำหรับการป้องกันในอนาคต-การตรวจจับแบบเรียลไทม์ของพฤติกรรมที่ไม่ได้รับอนุญาตแทนที่จะพึ่งพาการตรวจสอบแบบคงที่หรือการตรวจสอบผู้ใช้ แต่ถ้าหากสถาปัตยกรรมความน่าเชื่อถือของ GitHub วิวัฒนาการแพลตฟอร์มอาจยังคงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตีที่ใช้ประโยชน์จากการออกแบบที่เปิดอยู่
การปรับสมดุลระบบอัตโนมัติและความเสี่ยง
การกระทำของ GitHub นั้นใช้กันอย่างแพร่หลาย อย่างไรก็ตามสคริปต์เหล่านี้มักจะทำงานด้วยสิทธิ์ที่สูงขึ้นรวมถึงการเข้าถึงเนื้อหาที่เก็บและความลับของ CI เมื่อการกระทำที่เชื่อถือได้ถูกบุกรุกผลที่ตามมาจะกระเพื่อมในทุกโครงการที่ใช้มันโดยไม่มีคำถาม
การละเมิด `การกระทำ TJ-actions/การเปลี่ยนแปลงไฟล์’เป็นกรณีศึกษาว่ารอยแตกขนาดเล็กในห่วงโซ่อุปทานโอเพนซอร์ส ความนิยมของแอ็คชั่นและการเข้าถึงตัวแปรสภาพแวดล้อมที่ละเอียดอ่อนทำให้มันเป็นเวกเตอร์ที่มีศักยภาพสำหรับการแสวงประโยชน์
ทีมรักษาความปลอดภัยกำลังให้คำแนะนำแก่นักพัฒนาในการตรวจสอบเวิร์กโฟลว์ของพวกเขาลดการอนุญาตและหลีกเลี่ยงการรวมการกระทำของบุคคลที่สามโดยไม่เข้าใจพฤติกรรมของพวกเขา จนกว่าจะมีการป้องกันที่เข้มงวดมากขึ้นความสะดวกของการกระทำของ GitHub จะยังคงมีความเสี่ยงที่ซ่อนอยู่
Categories: IT Info
