یک حمله جدید زنجیره تأمین به GitHub با نام GhostAction، بیش از ۳,۳۲۵ رمز و کلید امنیتی را به سرقت برده است. این کلیدها شامل توکنهای PyPI، npm، DockerHub، GitHub، Cloudflare و AWS میشوند.
جزئیات حمله GhostAction
این حمله توسط حسابهای مدیر پروژه مخدوش شده انجام شد. هکرها یک فایل Workflow مخرب GitHub Actions ایجاد کردند که هنگام push یا اجرا دستی بهصورت خودکار فعال میشود.
Workflow مخرب، رازهای پروژه را از محیط GitHub Actions میخواند و به دامنهای خارجی ارسال میکند (
bold-dhawan[.]45-139-104-115[.]plesk[.]page).پروژه FastUUID اولین مورد شناسایی شده بود که توکن PyPI آن به سرقت رفت. خوشبختانه قبل از انتشار بسته مخرب، مشکل شناسایی و رفع شد.
دامنه حمله
حمله GhostAction حداقل ۸۱۷ مخزن GitHub را تحت تأثیر قرار داده است، که همه به همان نقطه خروجی ارسال میشدند.
هکرها نام رمزها را از Workflowهای قانونی استخراج و در Workflowهای مخرب خود کدنویسی کردهاند تا انواع مختلف رازها را بدزدند.
پس از کشف کمپین توسط GitGuardian، تیمهای امنیتی GitHub، npm و PyPI مطلع شدند و تغییرات مخرب بازگردانده شد.
تأثیر و توصیهها
حدود ۳,۳۲۵ رمز به سرقت رفته که شامل توکنهای PyPI، npm، DockerHub، GitHub، API Cloudflare، کلیدهای دسترسی AWS و اطلاعات دیتابیس است.
حداقل ۹ بسته npm و ۱۵ بسته PyPI تحت تأثیر قرار گرفتهاند و ممکن است در آینده بستههای مخرب منتشر کنند، مگر اینکه مدیران کلیدهای افشا شده را لغو کنند.
سازمانها و توسعهدهندگان باید کلیدهای مخفی و توکنهای خود را بازبینی و تعویض کنند و از روشهای امنیتی اضافی برای محافظت از Workflowها استفاده کنند.
