Uma nova ameaça abala o ecossistema DevOps. Foi detectado um ataque de suplantação no GitHub onde tags de Actions populares foram redirecionadas para commits maliciosos. O objetivo: roubar credenciais de integração e implantação contínua, aproveitando a confiança cega em componentes amplamente utilizados.
Mecanismo do ataque: modificação de referências em pipelines 🛡️
Os atacantes alteraram as referências de tags do GitHub Actions para que apontassem para versões falsas. Ao executar o pipeline, o código malicioso era ativado sem levantar suspeitas, extraindo tokens de acesso e chaves SSH armazenados nos segredos do repositório. Este método explora a falta de verificação de integridade nas dependências, um ponto cego comum em cadeias de suprimento de software. A solução imediata passa por usar hashes SHA em vez de tags móveis.
Confiar cegamente: o esporte favorito do desenvolvedor moderno 🤦
Acontece que colocar toda a fé em uma tag do GitHub sem questionar é como deixar as chaves do carro na ignição com o motor ligado. Os atacantes sabem que amamos a comodidade de um simples v1.2.3, e nos devolveram isso com um roubo de credenciais. Talvez seja hora de aprender a ler SHA commits ou, pelo menos, desconfiar um pouco mais do que copiamos do Stack Overflow.