一种新的威胁正在动摇DevOps生态系统。GitHub上检测到一起冒充攻击,热门Actions的标签被重定向到恶意提交。其目的是利用对广泛使用组件的盲目信任,窃取持续集成和持续部署的凭据。
攻击机制:修改流水线中的引用 🛡️
攻击者篡改了GitHub Actions标签的引用,使其指向虚假版本。当流水线执行时,恶意代码会毫无察觉地被激活,从而提取存储在仓库机密中的访问令牌和SSH密钥。这种方法利用了依赖项完整性验证的缺失,这是软件供应链中常见的盲点。立即的解决方案是使用SHA哈希值,而非可移动标签。
盲目信任:现代开发者的最爱 🤦
事实证明,完全信任一个GitHub标签而不加质疑,就像把车钥匙留在点火开关上且引擎未熄火。攻击者知道我们喜欢简单的v1.2.3这种便利,于是用凭据盗窃来回报我们。也许是时候学习阅读SHA提交,或者至少对从Stack Overflow复制的内容多一份怀疑了。