İkinci Github Eylemleri Tedarik Zinciri saldırısı keşfedildi

3. taraf risk yönetimi, yönetişim ve risk yönetimi

Tj-ınırlardan sadece birkaç saat önce CispinedDog’da enjekte edilen kötü amaçlı kod.

Mathew J. Schwartz (Euroinfosec) •
18 Mart 2025

Güvenlik araştırmacıları, yazılım geliştirme ortamında yaygın olarak kullanılan bir aracı altüst eden bir hack’i ortaya çıkardıktan birkaç gün sonra GitHub’da devam eden başka bir tedarik zinciri saldırısı olduğu konusunda uyarıyor. Bu en yeni tehdit, binlerce kod deposunun kimlik bilgilerinin ve yazılım geliştirme boru hatlarının tehlikeye girme riskiyle karşı karşıya kalmasını sağlıyor.

Ayrıca bakınız: Ondemand | Üçüncü taraf güvenlik açıklarına yönelik saldırılardan satıcınızın erişimini sağlayın

En son saldırı, daha önce bulunan saldırıya bağlı gibi görünüyor ve GitHub eylemleri için otomatik bir kod inceleme aracına enjekte edilen kötü amaçlı kodlara odaklanıyor. reviewdog/actions-setup@v1.

Pazartesi günü bir blog yazısında bulut güvenlik firması Wiz’in ana güvenlik araştırmacısı Rami McCarthy, “Bunun, belirli bir yüksek değerli hedefe yol açan bir tedarik zinciri saldırıları zinciri olduğuna inanıyoruz.” Dedi. Bu hedefin ne olabileceği henüz net değil.

McCarthy, geri yüklenen GitHub eylemlerinin daha geniş bir setin parçası olduğu konusunda uyardı. reviewdog Kuruluşların da kullanabileceği ve saldırı, API anahtarları ve kimlik bilgileri de dahil olmak üzere sırları kod geliştirme boru hatlarından ortaya çıkarabilirdi.

Git sürüm kontrol sistemine dayanan GitHub, geliştiriciler tarafından kodları depolamak, yönetmek ve paylaşmak ve çok sayıda yazılım geliştirme ve işbirliği ortamının temelini oluşturmak için kullanılır. Platform, GitHub’da sürekli entegrasyonu ve sürekli teslimat – yani CI/CD – otomatikleştirmek için tasarlanmış isteğe bağlı bir özellik GitHub Eylemleri iş akışları sunar.

Backdoured üzerindeki uyarı reviewdog Action, yazılım firması Stepsecurity’nin Cuma günü, kötü amaçlı kodun enjekte edildiğini bulduğu uyarısını takip ediyor changed-filesbir dizi popüler tj-actions Github eylemleri için. Stepsecurity, GitHub eylemleri için bir yazılım tedarik zinciri güvenlik platformunu korur (bakınız: Tedarik Zinciri Saldırısı Github depolarını ve sırlarını hedefler).

Araştırmacılar daha sonra geri yüklenenleri ortaya çıkardılar tj-actions kötü niyetli bir taahhütle. Cumartesi günü Github, tehlikeye atılanları kaldırdı tj-actions/changed-files ve sonra saldırganın erişimini engelledikten sonra tüm kötü amaçlı kodlar silinerek günün ilerleyen saatlerinde geri yüklendi.

Bu saldırı, API anahtarları ve kimlik doğrulama jetonları da dahil olmak üzere sırlar, kullanan 23.000’den fazla kod deposu için maruz kalabilirdi tj-actionsaraştırmacılar dedi. Saldırının zaman çerçevesi sırasında eylemin kötü niyetli bir versiyonunun kullanılıp kullanılmadığını belirlemeyi önerdiler ve eğer öyleyse, herhangi bir sırın ortaya çıkıp açılmadığını ve bu sırları döndürüp döndürmediğini görmek için günlükleri inceleyip incelemediğini incelemeyi tavsiye ettiler.

Karşı saldırılar tj-actions Ve reviewdog genel olarak benzer görünüyor. “Gördüğümüz gibi tj-actionsuzlaşmış reviewdog Eylem Kötü amaçlı kodları kullanarak herhangi bir CI iş akışına enjekte etti, iş akışı sırlarını içeren CI koşucu belleğini boşalttı, “dedi Wiz’in McCarthy.” tj-actions Kasa, yük farklıydı ve yükü almak için curl kullanmadı. Bunun yerine, yük Base64 kodlandı ve doğrudan içine yerleştirildi install.sh iş akışı tarafından kullanılan dosya. “

. tj-actions Bakımcılar Cumartesi günü yaptığı açıklamada, saldırının kişisel erişim belirtecine kadar izlediğini “bildirdi” @tj-actions-bot Hesap “ve” GitHub bu PAT’ın nasıl tehlikeye atıldığını belirleyemiyor. “Bakımcılar GitHub’ın tehlikeye atılan PAT’ı iptal ettiğini ve bot için şifreyi değiştirdiklerini, yükseltilmiş kimlik doğrulamasını erişim için bir passey gerektirecek ve botun tekrar veya kopya saldırılarını engelleme izinlerini kilitleyeceklerini söyledi.

Pazartesi günü, Bağımsız Güvenlik Araştırmacısı Adnan Khan, CodeCommit erişim kimlik bilgilerini kim almışsa kanıt paylaştı. tj-actions/changed-file bunu ilk arka kapı ile yaptı reviewdog Birçoğunun kötü niyetli kod sunmasına yol açan eylemler.

Khan’ın bulgusunu inceledikten sonra Wiz, ” reviewdog/action-setup uzlaşmanın temel nedeni tj-actions-bot Pat, “kısmen çünkü”tj-actions/eslint-changed-files kullanma reviewdog/action-setup@v1ve tj-actions/changed-files Depo bunu çalıştırıyor tj-actions/eslint-changed-files kişisel erişim belirteci ile eylem. “

Saldırıların zamanlaması da sıralanıyor. “İnanıyoruz reviewdog Action’ın V1 etiketi, 11 Mart’ta 18:42 ve 20:31 UTC arasında kötü niyetli bir taahhütte bulundu. tj-actions başlıyor gibi görünüyordu.

Backdoed kullanan herhangi bir kuruluş için reviewdog Bir kamu deposu için eylem olan Wiz, sırların iş akışı günlüklerinde sızacağı konusunda uyardı ve “en kısa sürede onları döndürmenizi tavsiye ediyoruz.” Özel olarak ayarlanmış depolar için, “bu, sırların kamuya açık olmadığı anlamına geliyor, ancak yine de onları döndürmeyi düşünmelisiniz.”

Bir saldırgan nasıl geri yüklendi reviewdog Açık değil, yani saldırgan tekrar kötü amaçlı kod enjekte edebilir. Stepsecurity CEO’su Varun Sharma, Stepsecurity CEO’su Varun Sharma, “Kamusal iyileşme kanıtı olmadığından, bu eylemlerin tekrar tehlikeye girebileceğini varsaymak güvenli olabilir.” Dedi. “Mümkünse, hepsini kullanmayı bırak reviewdog olayın etkisi açıktır. “

Github, Github Eylemleri, güvenilir bir eyleme eklenen kötü amaçlı kodun ortaya koyduğu risk göz önüne alındığında, kullanıcılara bu tür saldırılara karşı kendilerini korumak için birden fazla adım atmalarını tavsiye eder. “Bir iş akışı içindeki tek bir eylemin uzlaşması çok önemli olabilir, çünkü bu tehlikeye atılan eylem, deponuzda yapılandırılmış tüm sırlara erişebilir ve GITHUB_TOKEN depoya yazmak için, “diye uyardı.

GitHub eylemlerinde kötü amaçlı kod enjekte eden saldırganlara karşı önemli bir savunma, eylemleri bir GIT taahhüdüne sabitlemeyi, yani güvenilir bir kod parçası için benzersiz bir tanımlayıcı görevi gören güvenli karma algoritması kullanılarak üretilen bir karma olarak sabitlemeyi içerir.

Github, “Belirli bir SHA’ya sabitlemek, geçerli bir GIT nesne yükü için bir SHA-1 çarpışması oluşturmaları gerektiğinden, eylemin deposuna bir arka kapı ekleme riskini azaltmaya yardımcı olur.” Dedi. “Bir SHA seçerken, bunun bir depo çatalını değil, eylemin deposundan olduğunu doğrulamalısınız.”