Oltre 23.000 organizzazioni hanno visto inconsapevolmente svelati i propri segreti nel fine settimana, dopo che alcuni autori di minacce sono riusciti a compromettere una popolare GitHub Action.
GitHub Actions è una piattaforma di integrazione continua e distribuzione continua (CI/CD) progettata per semplificare la creazione, il test e la distribuzione del codice.
Venerdì, i ricercatori di sicurezza hanno scoperto che il codice sorgente della popolare GitHub Action tj-actions/changed-files era stato manomesso.
"In questo attacco, gli aggressori hanno modificato il codice dell'azione e aggiornato retroattivamente più tag di versione per fare riferimento al commit dannoso. L'azione compromessa stampa i segreti CI/CD nei log di build di GitHub Actions", ha spiegato StepSecurity.
"Se i log del flusso di lavoro sono accessibili al pubblico (ad esempio nei repository pubblici), chiunque potrebbe potenzialmente leggere questi log e ottenere segreti esposti. Non ci sono prove che i segreti trapelati siano stati esfiltrati in una destinazione di rete remota."
All'incidente è stato assegnato un numero CVE ufficiale: CVE-2025-30066. Tutte le versioni dell'Azione sono state interessate, ma GitHub l'ha ora rimossa, quindi gli utenti dovranno trovare implementazioni alternative.
"L'attaccante probabilmente non stava cercando segreti nei repository pubblici, che sono già pubblici. Probabilmente stava cercando di compromettere la supply chain del software per altre librerie open source, file binari e artefatti creati con questo. Qualsiasi repository pubblico che crea pacchetti o contenitori come parte di una pipeline CI potrebbe essere stato interessato. Ciò significa che potenzialmente migliaia di pacchetti open source hanno il potenziale per essere compromessi", ha scritto Endor Labs .
"Questo può applicarsi anche alle organizzazioni aziendali che hanno repository sia privati che pubblici. Se questi repository condividono segreti di pipeline CI/CD per registri di artefatti o contenitori, questi registri possono essere potenzialmente compromessi."
Il fornitore di soluzioni di sicurezza ha affermato di non avere prove, al momento della stesura dell'articolo, che librerie o contenitori open source downstream siano stati interessati, ma ha invitato i manutentori e i ricercatori in materia di sicurezza a prestare molta attenzione a compromessi secondari.
Nessun commento:
Posta un commento