Обработчик changed-files, как следует из названия, позволяет отслеживать изменения файлов и затем выполнять определенные действия с исходным кодом. Он использовался как минимум в 23 тысячах репозиториев кода на GitHub. В пятницу 14 марта в код changed-files было внесено вредоносное дополнение, которое первыми исследователи из компании Step Security. Они же завели в репозитории проекта. Администрация GitHub сначала выключила доступ к changed-files, а затем вредоносный код был удален — всего он был доступен около суток.
Вредоносный код загружал скрипт на Python для дампа памяти процесса Runner Worker. Содержимое затем исследовалось на предмет наличия секретов, которые в закодированном виде сохранялись в лог обработчика. В случае если обработчик changed-files использовался в публичном репозитории, лог его работы также оказывался в публичном доступе. Приватные репозитории, скорее всего, не пострадали — вредоносный скрипт только сохранял секретную информацию локально, попыток эксфильтрации данных зафиксировано не было.
Тем не менее, по компании Wiz, утечка данных получилась масштабная и затронула публичные репозитории ряда крупных корпоративных проектов. В открытых логах на какое-то время появились ключи для доступа к серверам на хостинге AWS, токены доступа к репозиториям на GitHub, приватные ключи и так далее.
По информации разработчиков changed-files, злоумышленники каким-то образом получили доступ к боту tj-actions-bot, с помощью которого смогли изменить исходный код рабочего процесса. По результатам расследования, бот был защищен с помощью парольного ключа, а его привилегии в репозитории сведены к минимуму. В компании Step Security подозревают, что взлом changed-files может быть связан с другого обработчика, известного как reviewdog. Этот процесс был взломан примерно 11 марта, а вредоносный код был доступен в нем до 18 марта. Не исключено, что сначала был взломан reviewdog, а затем уже changed-files.
Организациям и индивидуальным разработчикам, использующим обработчик changed-files, рекомендуется проанализировать логи за 14 и 15 марта. Наличие закодированной секретной информации в логах должно стать поводом для внеочередной ротации ключей доступа. Впрочем, надежнее будет провести такую ротацию всем владельцам репозиториев, которые в принципе использовали changed-files, — на всякий случай. Данный инцидент представляет собой интересный пример атаки типа supply chain на ПО с открытым исходным кодом. В отличие от известной атаки на утилиту XZ Utils, где вредоносный код довольного долго и последовательно (и безуспешно) двигали в сторону включения в популярные дистрибутивы, здесь эффект от компрометации исходников оказался почти мгновенным из-за особенностей работы GitHub Actions.
Что еще произошло
Более сотни автодилеров на своих сайтах «ручные трояны», известные как ClickFix, — это когда пользователя просят скопировать код и выполнить его в системном терминале. Вредоносный код появился на сайтах автодилеров после компрометации специализированного поставщика услуг видеохостинга, компании LES Automotive. Подробнее о вариантах атак ClickFix мы в предыдущем дайджесте.
Из сервиса Steam на прошлой неделе была игра с вредоносным кодом.
Американское Федеральное бюро расследований об атаках на пользователей через сервисы, предоставляющие услуги конвертирования файлов онлайн. Сайт, например, для конвертирования файла Microsoft Word в PDF и обратно может распространять вредоносный код. У пользователя в таком сценарии будет меньше подозрений, так как он будет ожидать загрузки файла с подобного ресурса. В качестве альтернативной площадки для распространения вредоносного кода также упоминаются поддельные сервисы для скачивания видео с популярных платформ.
