गिटहब एक्शन्स में पहचान चोरी: नकली टैग सीआई/सीडी क्रेडेंशियल चुरा रहे हैं

एक नया खतरा DevOps पारिस्थितिकी तंत्र को हिला रहा है। GitHub पर एक प्रतिरूपण हमले का पता चला है जहां लोकप्रिय Actions टैग को दुर्भावनापूर्ण कमिट पर रीडायरेक्ट किया गया। उद्देश्य: व्यापक रूप से उपयोग किए जाने वाले घटकों पर अंध विश्वास का लाभ उठाकर, एकीकरण और निरंतर परिनियोजन क्रेडेंशियल चुराना।

GitHub Actions pipeline with malicious commit injection, a fake green checkmark tag redirecting to a hidden code branch, CI/CD credentials being siphoned through a glowing red data stream from a compromised repository, DevOps dashboard showing tampered workflow logs, terminal window displaying unauthorized token extraction, cinematic cybersecurity visualization, dark interface with neon threat indicators, realistic server rack in background, dramatic red alert lighting, photorealistic technical illustration style

हमले का तंत्र: पाइपलाइनों में संदर्भों का संशोधन 🛡️

हमलावरों ने GitHub Actions टैग के संदर्भों को बदल दिया ताकि वे नकली संस्करणों की ओर इशारा करें। जब पाइपलाइन चलती थी, तो दुर्भावनापूर्ण कोड बिना संदेह पैदा किए सक्रिय हो जाता था, रिपॉजिटरी के रहस्यों में संग्रहीत एक्सेस टोकन और SSH कुंजियाँ निकालता था। यह विधि निर्भरताओं में अखंडता सत्यापन की कमी का फायदा उठाती है, जो सॉफ्टवेयर आपूर्ति श्रृंखलाओं में एक सामान्य अंध स्थान है। तत्काल समाधान मोबाइल टैग के बजाय SHA हैश का उपयोग करना है।

आँख बंद करके भरोसा करना: आधुनिक डेवलपर का पसंदीदा खेल 🤦

पता चला कि बिना पूछे GitHub टैग पर पूरा भरोसा करना उतना ही है जितना कार की चाबियाँ इग्निशन में छोड़ना और इंजन चालू रखना। हमलावर जानते हैं कि हमें एक साधारण v1.2.3 की सुविधा पसंद है, और उन्होंने इसे क्रेडेंशियल चोरी के साथ हमें लौटा दिया है। शायद अब SHA कमिट पढ़ना सीखने का समय आ गया है, या कम से कम, Stack Overflow से कॉपी की गई चीज़ों पर थोड़ा और संदेह करने का।