一场名为巨齿鲨的攻击活动已通过注入恶意CI/CD工作流,入侵了GitHub上超过五千个仓库。攻击者利用持续集成与持续部署流水线中的漏洞,执行未授权代码、窃取凭证或安装后门。此次事件波及开源项目及组织,加剧了向关联系统扩散的风险。
该威胁如何在CI/CD流水线中运作 🦈
攻击者将恶意操作注入GitHub Actions工作流的YAML文件中。这些操作以高权限执行,可提取存储的令牌、环境变量和SSH密钥。一旦得手,代码便能修改仓库、在集成服务器部署恶意软件或窃取敏感数据。流水线的自动化特性使攻击难以察觉,因为安全警报往往忽略CI/CD配置的变更。
你的代码变成鱼缸的有趣一面 🐠
如果你的仓库被感染,至少现在你有了一个绝佳借口,来解释为何没提交那个关键项目更新。攻击者不仅窃取凭证,还替你省去了审查流水线的功夫——因为他们已经把它搞得支离破碎。最妙的是,当他们钓取令牌时,你可以把锅甩给数字鲨鱼,而不是承认自己硬编码了密码。欢迎来到开源水族馆。