Una nuova minaccia scuote l'ecosistema DevOps. È stato rilevato un attacco di spoofing su GitHub in cui tag di Actions popolari sono stati reindirizzati a commit dannosi. L'obiettivo: rubare credenziali di integrazione e distribuzione continua, sfruttando la fiducia cieca in componenti ampiamente utilizzati.
Meccanismo dell'attacco: modifica dei riferimenti nelle pipeline 🛡️
Gli aggressori hanno alterato i riferimenti dei tag di GitHub Actions in modo che puntassero a versioni false. All'esecuzione della pipeline, il codice dannoso si attivava senza destare sospetti, estraendo token di accesso e chiavi SSH memorizzati nei segreti del repository. Questo metodo sfrutta la mancanza di verifica dell'integrità nelle dipendenze, un punto cieco comune nelle catene di fornitura del software. La soluzione immediata passa attraverso l'uso di hash SHA invece di tag mobili.
Fidarsi ciecamente: lo sport preferito dello sviluppatore moderno 🤦
A quanto pare, riporre tutta la fede in un tag di GitHub senza fare domande è come lasciare le chiavi della macchina nel cruscotto con il motore acceso. Gli aggressori sanno che amiamo la comodità di un semplice v1.2.3, e ce l'hanno restituita con un furto di credenziali. Forse è ora di imparare a leggere gli SHA dei commit o, almeno, di diffidare un po' di più di ciò che copiamo da Stack Overflow.