GitHub Action tj-actions/changed-files 的泄露仅影响了使用它的 23,000 个项目中的一小部分,据估计,只有 218 个存储库因供应链攻击而泄露了机密。
尽管数量很少,但潜在的安全影响仍然很大,因为一些存储库非常受欢迎,可能会被用于进一步的供应链攻击。
也就是说,暴露存储库的所有者必须立即采取行动,轮换他们的秘密,以免攻击者有机会利用泄漏。
GitHub Action' tj-actions/changed-files'已被攻击者入侵,他们于 2025 年 3 月 14 日添加了恶意提交,以将 CI/CD 机密从 Runner Worker 进程转储到存储库。
如果将工作流日志设置为可公开访问,则任何人都可以访问和阅读这些秘密。
后续调查显示,此次攻击很可能是通过另一次针对“reviewdog/action-setup@v1” GitHub Action 的供应链攻击实现的。
此次漏洞可能危及了有权对“tj-actions/changed-files”执行更改的机器人所使用的 GitHub 个人访问令牌 (PAT)。
根据 Endor Labs 分享的监控上述供应链攻击所导致的机密泄露的数据,该事件的影响似乎有限,但仍然重大。
在暴露期间,即 UTC 时间 3 月 14 日下午 4:00 至 3 月 15 日下午 2:00 之间,来自 4,072 个不同组织的 5,416 个存储库引用了目标 GitHub Action。
Endor 报告称,一些存储库有超过 350,000 个 star 和 63,000 个 fork,因此它们的入侵可能会影响很多用户。
在引用 GitHub Action 的 5,416 个存储库中,有 614 个在给定的时间范围内运行了相应的工作流程,其中许多还运行了多次。
Endor 表示,在这 614 个密钥中,有 218 个实际上将机密打印到了控制台日志中,其余密钥则通过遵循“最佳实践建议”进行保护,这些建议可作为防止机密泄露的安全措施。
Endor 解释道:“执行该操作并不一定意味着任何凭证都被打印到控制台日志中。”
“一些存储库遵循最佳实践建议并引用提交 SHA 而不是可变标签。”
“在攻击者篡改所有版本标签之前,其他程序已经运行,因此它们指向恶意提交。”
在大多数情况下,暴露的秘密是 GitHub 安装访问令牌,Endor 表示这些令牌将在 24 小时内过期,因此攻击者只能获得有限的利用机会。
但在某些情况下,DockerHub、npm 和 AWS 的凭证被泄露,这带来了更高的安全风险。
仍然存在疑问,即最初的 Reviewdog 漏洞是否导致了除 tj-actions 之外的其他攻击,以及 tj-actions 攻击暴露的 218 个项目中是否也遭受了攻击。
强烈建议使用 GitHub Actions 的用户查看GitHub 的安全强化建议并限制对可能暴露敏感信息的文件和文件夹的访问。
原文始发于微信公众号(犀牛安全):GitHub Action 供应链攻击暴露了 218 个代码库的敏感信息
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3958899.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论