開発者向けセキュリティ企業GitGuardianは金曜日、悪意のあるGitHub Actionsワークフローを利用したサプライチェーン攻撃が、数百のリポジトリと数千のシークレットに影響を与えたことを明らかにしました。
同社は9月2日、GitGuardianが社内で利用しているFastUUIDというプロジェクトのメンテナーのGitHubアカウントが侵害され、悪意のあるワークフローファイルがプロジェクトに挿入されたことに気付きました。
GitHub Actionsワークフローは、開発者が通常手動で行う開発タスクを自動化することを可能にします。FastUUIDプロジェクトに追加されたワークフローは、シークレットを収集し、攻撃者が管理するサーバーに送信するよう設計されていました。
FastUUIDプロジェクトの場合、攻撃者はパッケージのデプロイに使用されるPyPIトークンを取得しました。このトークンがあれば、ハッカーはPyPI上のFastUUIDパッケージを侵害できた可能性がありますが、悪意のあるコミットが発見されて元に戻される前に、そのような事象が発生した形跡はありません。
しかし、GitGuardianの研究者によるさらなる分析により、FastUUIDへの攻撃は、同社がGhostActionと名付けた大規模なキャンペーンの一部であることが判明しました。
侵害の指標(IoC)によると、このキャンペーンは327人のGitHubユーザーと817のリポジトリを標的にしていました。
攻撃者は正規のワークフローファイルからシークレットを列挙し、そのシークレット名を悪意のあるワークフローにハードコーディングしていました。DockerHubの認証情報、GitHubトークン、NPMトークン、さらにSonar、Confluence、AWSインスタンスに関連するシークレットなど、3,300件以上のシークレットが漏洩しました。
「影響を受けた開発者との初期のやり取りにより、攻撃者が盗まれたシークレット、特にAWSアクセスキーやデータベース認証情報を積極的に悪用していることが確認されました」とGitGuardianは述べています。
広告。スクロールして続きをお読みください。
「いくつかの企業では、Python、Rust、JavaScript、Goのリポジトリが同時に悪意のあるワークフローの影響を受け、SDKポートフォリオ全体が侵害されていることが判明しました」と同社は付け加えました。
影響を受けた多くのリポジトリは悪意のある変更を元に戻し、残りの大多数にもGitGuardianから通知が行われています。GitHub、PyPI、NPMのセキュリティチームにも警告が出されています。
「私たちは、これらおよび他のパッケージレジストリを継続的に監視し、侵害されたトークンが悪意のあるアーティファクトの公開に使われていないことを確認しています」とセキュリティ企業は述べています。「初期調査の段階では、今後数時間から数日以内に9つのNPMパッケージと15のPyPIパッケージが侵害されるリスクがあります。」
GitGuardianは、GhostActionキャンペーンが最近のS1ngularity攻撃とは関連していないようだと指摘しています。
翻訳元: https://www.securityweek.com/github-workflows-attack-affects-hundreds-of-repos-thousands-of-secrets/