Новая угроза сотрясает экосистему DevOps. Обнаружена атака подмены в GitHub, где теги популярных Actions были перенаправлены на вредоносные коммиты. Цель: кража учетных данных непрерывной интеграции и развертывания, использующая слепое доверие к широко используемым компонентам.
Механизм атаки: изменение ссылок в конвейерах 🛡️
Злоумышленники изменили ссылки тегов GitHub Actions, чтобы они указывали на поддельные версии. При выполнении конвейера вредоносный код активировался, не вызывая подозрений, извлекая токены доступа и ключи SSH, хранящиеся в секретах репозитория. Этот метод использует отсутствие проверки целостности зависимостей — распространенную слепую зону в цепочках поставок программного обеспечения. Немедленное решение заключается в использовании хэшей SHA вместо перемещаемых тегов.
Слепое доверие: любимый вид спорта современного разработчика 🤦
Оказывается, полностью полагаться на тег GitHub, не задавая вопросов, — это все равно что оставить ключи в замке зажигания с работающим двигателем. Злоумышленники знают, что мы любим удобство простого v1.2.3, и отплатили нам кражей учетных данных. Возможно, пора научиться читать SHA коммитов или, по крайней мере, немного меньше доверять тому, что мы копируем из Stack Overflow.