安全研究人员发现了一场新的网络攻击活动。攻击者将恶意软件包发布到RubyGems和Go模块注册中心等存储库中。当这些软件包被集成到项目中时,会执行隐藏代码,窃取存储在持续集成环境中的凭证,从而危及内部系统和云服务。
攻击机制:背叛的依赖项 🛡️
攻击者将恶意代码注入Ruby gems和Go模块中,伪装成合法库。当开发者下载并将其集成到CI管道中时,隐藏代码会在构建阶段执行。这种恶意软件会提取环境变量、访问令牌和存储的SSH密钥。被盗的凭证允许攻击者访问代码仓库、内部系统和云服务,而不会立即引起怀疑。
那个信任了一个gem并失去管道的开发者 ☕
因为当然,下载一个名为ruby-utils-pro-max、承诺将代码优化500%的gem能出什么差错呢?攻击者知道开发者盲目信任公共存储库。现在,除了检查日志和更新依赖项之外,还得祈祷你在凌晨3点下载的gem没有在你喝咖啡时偷走你的凭证。