Security Week 2513: атака на GitHub Actions

Security Week 2513: атака на GitHub Actions
Важной новостью в сфере информационной безопасности на прошлой неделе стал взлом репозитория tj-actions/changed-files . Это так называемый рабочий процесс или GitHub Actions , позволяющий выполнять определенные операции над исходным кодом прямо в репозитории GitHub. Инцидент подробно освещался ( пост на Хабре, статья в издании Ars Technica, обзорная публикация в блоге «Лаборатории Касперского»), и на то есть причины. Взлом GitHub Actions приводит к практически неизбежной компрометации репозиториев, которые используют этот конкретный обработчик у себя.



Обработчик changed-files, как следует из названия, позволяет отслеживать изменения файлов и затем выполнять определенные действия с исходным кодом. Он использовался как минимум в 23 тысячах репозиториев кода на GitHub. В пятницу 14 марта в код changed-files было внесено вредоносное дополнение, которое первыми обнаружили исследователи из компании Step Security. Они же завели тикет в репозитории проекта. Администрация GitHub сначала выключила доступ к changed-files, а затем вредоносный код был удален — всего он был доступен около суток.

Вредоносный код загружал скрипт на Python для дампа памяти процесса Runner Worker. Содержимое затем исследовалось на предмет наличия секретов, которые в закодированном виде сохранялись в лог обработчика. В случае если обработчик changed-files использовался в публичном репозитории, лог его работы также оказывался в публичном доступе. Приватные репозитории, скорее всего, не пострадали — вредоносный скрипт только сохранял секретную информацию локально, попыток эксфильтрации данных зафиксировано не было.

Тем не менее, по данным компании Wiz, утечка данных получилась масштабная и затронула публичные репозитории ряда крупных корпоративных проектов. В открытых логах на какое-то время появились ключи для доступа к серверам на хостинге AWS, токены доступа к репозиториям на GitHub, приватные ключи и так далее.

По информации разработчиков changed-files, злоумышленники каким-то образом получили доступ к боту tj-actions-bot, с помощью которого смогли изменить исходный код рабочего процесса. По результатам расследования, бот был защищен с помощью парольного ключа, а его привилегии в репозитории сведены к минимуму. В компании Step Security подозревают, что взлом changed-files может быть связан с компрометацией другого обработчика, известного как reviewdog. Этот процесс был взломан примерно 11 марта, а вредоносный код был доступен в нем до 18 марта. Не исключено, что сначала был взломан reviewdog, а затем уже changed-files.

Организациям и индивидуальным разработчикам, использующим обработчик changed-files, рекомендуется проанализировать логи за 14 и 15 марта. Наличие закодированной секретной информации в логах должно стать поводом для внеочередной ротации ключей доступа. Впрочем, надежнее будет провести такую ротацию всем владельцам репозиториев, которые в принципе использовали changed-files, — на всякий случай. Данный инцидент представляет собой интересный пример атаки типа supply chain на ПО с открытым исходным кодом. В отличие от известной атаки на утилиту XZ Utils, где вредоносный код довольного долго и последовательно (и безуспешно) двигали в сторону включения в популярные дистрибутивы, здесь эффект от компрометации исходников оказался почти мгновенным из-за особенностей работы GitHub Actions.

Что еще произошло

Более сотни автодилеров распространяли на своих сайтах «ручные трояны», известные как ClickFix, — это когда пользователя просят скопировать код и выполнить его в системном терминале. Вредоносный код появился на сайтах автодилеров после компрометации специализированного поставщика услуг видеохостинга, компании LES Automotive. Подробнее о вариантах атак ClickFix мы писали в предыдущем дайджесте.

Из сервиса Steam на прошлой неделе была удалена игра с вредоносным кодом.

Американское Федеральное бюро расследований предупреждает об атаках на пользователей через сервисы, предоставляющие услуги конвертирования файлов онлайн. Сайт, например, для конвертирования файла Microsoft Word в PDF и обратно может распространять вредоносный код. У пользователя в таком сценарии будет меньше подозрений, так как он будет ожидать загрузки файла с подобного ресурса. В качестве альтернативной площадки для распространения вредоносного кода также упоминаются поддельные сервисы для скачивания видео с популярных платформ.
github actions changed-files supply chain
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Взломают завтра? как математика предсказывает кибератаки

31 марта в 14:00 — SuperHardio Brothers* раскрывают, как превратить математическое моделирование времени атак в конкурентное преимущество вашей компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887 *герои-эксперты харденинга