I ricercatori di sicurezza mettono in guardia contro un attacco alla supply chain contro tj-actions/changed-files GitHub Action, utilizzata in oltre 23.000 repository.
Secondo StepSecurity, che ha scoperto la compromissione, venerdì mattina è stato rilevato un attacco malevolo che ha portato alla divulgazione di un’enorme quantità di segreti .
La piattaforma è ampiamente utilizzata nel processo di integrazione continua/distribuzione continua e aiuta ad automatizzare lo sviluppo del software.
“Questo incidente evidenzia i crescenti rischi nelle catene di fornitura del software e la necessità di un monitoraggio della sicurezza CI/CD in tempo reale per rilevare e prevenire tali azioni”, ha affermato via e-mail Varun Sharma, CEO di StepSecurity.
L’incidente è stato identificato come CVE-2025-30066 e consente ad aggressori remoti di scoprire segreti leggendo i registri delle azioni.
Wiz Threat Research ha identificato decine di repository interessati dall’incidente. Tra questi, anche i repository gestiti da grandi organizzazioni.
Tra i segreti CI/CD trapelati ci sono chiavi di accesso AWS valide, token di accesso personali GitHub, chiavi RSA private e altri segreti.
Secondo Jonathan Braley, direttore dell’intelligence sulle minacce presso IT-ISAC, l’aggiornamento dannoso è stato rapidamente risolto, ma ora le organizzazioni dovranno cercare quale software potrebbe aver utilizzato il pacchetto dannoso.
“Quando un avversario ottiene il controllo di un account che può inviare aggiornamenti, le cose possono rapidamente sfuggire di mano”, ha detto Braley a Cybersecurity Dive via e-mail. “Poiché alcuni di questi progetti open source possono essere utilizzati in centinaia e migliaia di prodotti, è una grande preoccupazione quando uno viene violato e viene inviato un aggiornamento dannoso”.
Nessun commento:
Posta un commento