2 Eylül 2025’te, GromMash9 olarak bilinen bir GitHub kullanıcısı FastUuid projesine yeni bir iş akışı dosyası gerçekleştirdi. “GitHub Eylemler Güvenliği” olarak etiketlenmiş dosya, rutin otomasyon komut dosyalarına benzer şekilde göründü, ancak daha sonra CI/CD sırlarını toplamak ve bunları harici bir sunucuya göndermek için tasarlanmış kötü amaçlı kod içerdiği bulundu.
Fastuuid, evrensel olarak benzersiz tanımlayıcıların (UUID’ler) verimli bir şekilde üretilmesinde ve çalışmada kullanılan açık kaynaklı bir Python kütüphanesidir.
5 Eylül’e kadar, Gitguardian’daki siber güvenlik araştırmacıları olağandışı faaliyeti tespit etmiş ve fastuuid deposunun tehlikeye atıldığını doğruladı. İş akışı, sırları bir HTTP sonrası isteğine paketleyen ve bunları barındıran bir sunucuya ileten bir komut içeriyordu. 45.139.104.115.
Proje için PYPI jetonu, verilen veriler arasındaydı, ancak müfettişler uzlaşma süresi boyunca kötü amaçlı paket sürümleri bulamadılar. Pypi zamanında hareket etti, daha fazla kötüye kullanımı önlemek için projeyi salt okunur modda kilitledi.
Gitguardian’ın takip analizi, yüzlerce deposunun neredeyse aynı iş akışları kullanılarak kurcalandığını ortaya koydu. Şirket şimdi “Ghostaction” tedarik zinciri saldırısı olarak adlandırıldı.
Gitguardian’ın hackraed.com ile paylaşılan raporuna göre, toplamda 817 depodaki 327 geliştirici etkilendi ve saldırganlar 3.325’ten fazla sır çaldı. Bunlar arasında Dockerhub kimlik bilgileri ve GitHub belirteçleri, yanlış kullanılabilir veya yazılım tedarik zincirlerini etkileyebilecek NPM yayınlama anahtarları içeriyordu.
Saldırı ayrıca hangi sırların kullanıldığını belirlemek için meşru iş akışı dosyalarını analiz eden saldırganları da içeriyordu, daha sonra aynı gizli isimleri kötü amaçlı iş akışlarına sabitledi.
Ayrıca, her bir taahhüt kişiselleştirildi ve saldırıyı her projeye ayarladı. Exfiltration sunucusu kampanya boyunca tutarlı kaldı ve her zaman bir etki alanına işaret ediyor ”plesk.page”5 Eylül öğleden sonra daha sonra çözülmeyi bıraktı.
GitGuardian’ın ekibi, geliştiricileri bilgilendirmek için yüzlerce tehlikeye atılan depoda doğrudan sorun yarattı. 573 projeyi koruyabildiler, diğerleri ya Github sorunlarını devre dışı bıraktı ya da depoyu tamamen sildi. Etkilenen geliştiricilerle yapılan konuşmalar, bazı sırların aktif olarak istismar edildiğini, saldırganların AWS ortamlarına ve veritabanı hizmetlerine erişmeye çalıştığını doğruladı.
Olay, Python, JavaScript, Rust ve Go depolarında bulunan kötü amaçlı iş akışı taahhütleri ile birden fazla programlama dilindeki projeleri etkiledi. Ayrıca, birkaç şirket tüm SDK portföylerinin kurcalandığını buldu. Saldırganlar birçok projeyi tehlikeye attığından, çalınan NPM ve Pypi tokenleri hala kötü niyetli sürümler yayınlamak için kullanılabilir.
5 Eylül’de öğleden sonra Gitguardian, Github, NPM ve Pypi’yi kampanyayı bilgilendirmişti. Bu platformlardaki güvenlik ekipleri artık şüpheli paket yayınlarını ve ilgili etkinlikleri izlemektedir. Şimdiye kadar, en az 9 NPM ve 15 PYPI projesi, tehlikeye atılan jetonlar nedeniyle risk altında kalıyor, ancak henüz kötü niyetli sürümler doğrulanmadı.
GitGuardian, ekiplerin projelerinin etkilenmediğini belirlemelerine yardımcı olmak için iş akışı dosya adı, taahhüt mesajı ve kötü amaçlı sunucu adresi de dahil olmak üzere uzlaşma göstergeleri yayınladı.
Hayal gücü kampanyası hala araştırılıyor, ancak mevcut bulgular bunun bugüne kadarki en büyük GitHub iş akışı uzlaşmalarından biri olduğunu gösteriyor, yüzlerce projeyi etkiliyor ve binlerce sır ortaya çıkarıyor.