DevOpsエコシステムを揺るがす新たな脅威が発生しました。GitHub上で、人気のActionsタグが悪意のあるコミットにリダイレクトされるなりすまし攻撃が検出されました。その目的は、広く使用されているコンポーネントへの盲目的な信頼を悪用し、継続的インテグレーションおよびデプロイメントの認証情報を盗み出すことです。
攻撃のメカニズム:パイプラインにおける参照の改ざん 🛡️
攻撃者はGitHub Actionsのタグ参照を改ざんし、偽のバージョンを指すようにしました。パイプラインが実行されると、疑われることなく悪意のあるコードが起動し、リポジトリのシークレットに保存されているアクセストークンやSSHキーを抽出しました。この方法は、ソフトウェアサプライチェーンにおける一般的な盲点である、依存関係の整合性チェックの欠如を悪用しています。当面の解決策は、可変タグの代わりにSHAハッシュを使用することです。
盲目的な信頼:現代の開発者の大好きな習慣 🤦
結局のところ、何も確認せずにGitHubのタグに全幅の信頼を置くことは、エンジンをかけたまま車のキーを差しっぱなしにするようなものです。攻撃者は、私たちがシンプルなv1.2.3の便利さを愛していることを知っており、その信頼を認証情報の窃取で裏切ったのです。そろそろSHAコミットを読むことを覚えるか、少なくともStack Overflowからコピーしたものをもう少し疑う時期かもしれません。