Accesso non autorizzato e furto di 3325 file riservati in un attacco informatico alla catena di approvvigionamento di GitHub, orchestrato dal gruppo GhostAction.
In una recente vicenda di sicurezza informatica, una campagna di attacchi sofisticata nota come GhostAction è stata collegata a un gruppo di criminali informatici con sede in Cina. L'attacco ha preso di mira i flussi di lavoro GitHub Actions e ha rubato migliaia di dati sensibili da centinaia di repository npm e PyPI.
L'attacco era altamente adattabile, prendendo di mira i segreti specifici dell'ambiente, che vanno dalle credenziali del registro dei contenitori alle chiavi del provider cloud. Le credenziali rubate spaziano su PyPI, npm, DockerHub, token GitHub e altro ancora.
La campagna GhostAction è stata scoperta per la prima volta nel progetto Python FastUUID il 2 settembre, quando un contributore con lo pseudonimo 'Grommash9' ha introdotto una modifica al flusso di lavoro. Questa modifica conteneva codice che estraeva i token sensibili, come il PYPI_API_TOKEN.
Il criminale informatico ha prima enumerato i segreti dai file di flusso di lavoro legittimi, quindi ha hardcoded questi nomi di segreti in flussi di lavoro maliziosi. Le credenziali rubate sono state consegnate attraverso POST HTTP a un endpoint controllato dall'attore. Non è stata trovata alcuna prova di rilasci di pacchetti maliziosi durante la finestra di compromesso nel progetto FastUUID.
L'attacco ha portato al furto di 3325 segreti da 327 utenti in 817 repository. Per prevenire incidenti simili in futuro, è consigliabile rivedere i flussi di lavoro del repository, ruotare le credenziali esposte e adottare controlli più стрretti per GitHub Actions.
I team di sicurezza di GitHub, npm e PyPI sono stati allertati per monitorare gli abusi. Il team di sicurezza di GitGuardian ha risposto rapidamente e il pacchetto FastUUID è stato impostato su sola lettura dai amministratori PyPI in pochi minuti. GitGuardian ha notificato i maintainer dei repository interessati, contattando con successo 573 progetti.
Il modello di attacco di GhostAction è stato trovato in almeno cinque repository pubblici e si stima in altri dieci privati. Oltre alla pubblicazione diretta di pacchetti maliziosi, gli attaccanti hanno anche utilizzato tecniche come il typosquatting - la creazione di pacchetti simili all'originale - o addirittura l'esploit delle dipendenze generate dall'AI per ingannare gli sviluppatori nell'installazione del codice compromesso.
Il blog ha condiviso un elenco di indicatori di compromesso, inclusi gli indicatori di rete e GitHub Workflow. È fondamentale che gli sviluppatori restino vigili e mantengano i loro sistemi aggiornati per proteggersi da questi attacchi. Alcuni pacchetti potrebbero essere ancora a rischio, con 9 npm e 15 PyPI pacchetti identificati come a rischio di compromesso nelle prossime ore o giorni.
L'inazione dell'attaccante dopo il compromesso iniziale suggerisce che FastUUID non era il
Leggi anche:
- "Masterizzare l'arte di mescolare il suono è quasi uguale all'importanza di ideare il tuo concetto musicale iniziale: guida per principianti nel mixaggio musicale"
- Espansione della presenza militare della Cina nella regione del Pacifico sudoccidentale e dell'Oceania
- Polk annuncia la sua partnership con il Lab 2.0 dopo la vendita di Upswing Poker a Club WPT Gold.
- Le principali nazioni africane progettano standard urbani puliti per il 2025
