هزاران پروژه منبع باز در معرض خطر از هک ابزار اقدامات GitHub

محققان می گویند ابزار به خطر افتاده در محیط GitHub CI/CD اعتبار را به سرقت برد. رهبران Infosec باید بلافاصله عمل کنند.

تیم های توسعه برنامه که از یک ابزار محبوب در اقدامات GitHub Actions Accountion Integrouse Integration و Platform تحویل/استقرار مداوم (CI/CD) استفاده می کنند ، باید کد خود را پاکسازی کنند زیرا این ابزار هفته گذشته برای سرقت اعتبار به خطر افتاده است.

این هشدار پس از آن صورت گرفت که محققان در STEPINCUITY دریافتند که تمام نسخه های tj-actions/ange-files کاربرد تا ۴۵.۷ توسط یک بازیگر تهدید در ۱۴ مارس اصلاح شده است. href = “https://github.com/advisories/ghsa-mrrh-fwg8-r2c3″> یک مشاوره github می گوید این تغییر یک اسکریپت مخرب پایتون را اجرا می کند که به مهاجمان از راه دور اجازه می دهد تا اسرار مانند کلیدهای API را کشف کنند ، با ورود به سیستم های API ، رمزهای دسترسی و رمزهای عبور توسط پرونده های خواندن.

سازش CVE-2025-30066 تعیین شده است. .

طبق گزارشی از آزمایشگاه های Endor ، این ابزار در بیش از ۲۳،۰۰۰ مخزن GitHub استفاده می شود. عمل به خطر افتاده می تواند هزاران خط لوله CI را تحت تأثیر قرار دهد ،

Github تا ۱۶ مارس دسترسی به ابزار را به خود جلب کرد و آن را با یک نسخه وصله دار جایگزین کرد.

اسرار خط لوله CI/CD می تواند به خطر بیفتد

“هر مخزن عمومی که بسته ها یا ظروف را به عنوان بخشی از خط لوله CI ایجاد می کند ، می تواند تحت تأثیر قرار گیرد.” “این بدان معنی است که هزاران بسته منبع باز پتانسیل به خطر افتاده را دارند.”

Endor می گوید ، مهاجم احتمالاً به دنبال اسرار در مخازن عمومی نبود ، زیرا آنها در حال حاضر عمومی هستند. “آنها به احتمال زیاد به دنبال سازش زنجیره تأمین نرم افزار برای سایر کتابخانه های منبع باز ، باینری ها و مصنوعات ایجاد شده با این بودند.”

هشدار در مورد تیم های توسعه ای که دارای مخازن خصوصی و عمومی هستند ، اعمال می شود. “اگر این مخازن اسرار خط لوله CI/CD را برای مصنوعات یا ثبت های کانتینر به اشتراک بگذارند ، این ثبت نام ها به طور بالقوه به خطر می افتد. 

“ما هیچ مدرکی نداریم که در حال حاضر هیچ کتابخانه منبع باز یا ظروف در پایین دست تحت تأثیر قرار گرفته است. اما ما از نگهدارنده های منبع باز و جامعه امنیتی می خواهیم تا به ما بپیوندند تا از نزدیک برای سازش های ثانویه بالقوه چشم پوشی کنند. ”

در مصاحبه روز دوشنبه ، CTO آزمایشگاه های Endor ، Dimitri Stiliadis ، گفت که خطر آسیب در برنامه هایی است که از ابزار TJ-Actions استفاده می کنند. اما ، وی افزود ، هکرها می توانستند از اعتبارنامه های دزدیده شده در Docker Hub یا سایر مخازن منبع باز برای دسترسی و وارد کردن بدافزار در سایر بسته های نرم افزاری استفاده کنند. وی گفت: “ما می توانیم بسته های آلوده به بدافزار را داشته باشیم که هیچ کس از آن آگاهی ندارد.” وی گفت: “این می تواند هزاران یا صدها هزار یا حتی میلیون ها نفر باشد … ما واقعاً نمی دانیم که اکنون آسیب واقعی چیست. ما در روزهای آینده خواهیم دانست. ”

محققان در تحقیقات تهدید Wiz

توصیه های github

برای کمک به تعیین اینکه آیا مخازن آنها تحت تأثیر قرار گرفته است ، رهبران Infosec باید audit GitHub logs for suspicious IP آدرس . یافت ، اسرار فعال در مخازن آنها باید چرخانده شود.

محققان در Wiz Threat Research همچنین گفتند که ، ، توسعه دهندگان باید به جای برچسب های نسخه ، تمام اقدامات GitHub را به سمت هش های تعهد خاص بچسبانند تا در برابر حملات زنجیره تأمین آینده کاهش یابد. آنها همچنین باید از ویژگی های لیست اجازه GitHub برای جلوگیری از اقدامات غیر مجاز GitHub از اجرای و پیکربندی GitHub استفاده کنند تا فقط اقدامات قابل اعتماد را انجام دهند. 

Just over a year ago we reported that security researchers had shown how a GitHub Action called Bazel could have been backdoored. In 2012, ما گزارش دادیم: ما یک ریل را ریل می کند که می تواند به صورت دارا باشد. فرم ها.