Уязвимость в открытом ПО вызывает беспокойство у бизнеса за безопасность систем

Популярный инструмент для автоматического обновления программного обеспечения был скомпрометирован через GitHub.

В код была добавлена вредоносная часть, обнародующая секреты пользователей. По данным исследователей, уже десятки организаций пострадали.

Десятки тысяч организаций, от малых и средних предприятий до крупных корпораций, рискуют нечаянно раскрыть внутренние секреты после атаки на цепочку поставок учетной записи GitHub.

Злоумышленник получил доступ к учетной записи GitHub разработчика(ов), поддерживающих tj-actions/changed files, инструмент, который является частью более крупного набора под названием tj-actions, помогающий автоматизировать обновления программного обеспечения, и, как сообщается, используется более чем 23 000 организациями.

Получив доступ к учетной записи, хакер тайно модифицировал программное обеспечение, чтобы вместо выполнения своих функций оно также крало конфиденциальную информацию с компьютеров, на которых оно работало.

Многие разработчики, по-видимому, доверяли инструменту без проверки изменений, запуская вредоносный код и обнародуя конфиденциальные учетные данные. В отчете говорится, что ключи доступа к AWS, персональные токены доступа GitHub (PAT), токены npm, private RSA Keys и многое другое были добавлены в текстовый журнал и, таким образом, раскрыты.

Десятки жертв Украденные учетные данные могут позволить злоумышленникам получить доступ к частным системам, украсть данные или скомпрометировать упомянутые выше службы, что означает, что последствия этой атаки еще предстоит увидеть в ближайшие недели и месяцы.

GitHub отреагировал на инцидент, заявив, что компания и ее платформа не пострадали от атаки, но все же помогла решить проблему. «По соображениям осторожности мы приостановили учетные записи пользователей и удалили контент в соответствии с Условиями допустимого использования GitHub», – цитировалось заявление GitHub.

«Мы восстановили учетную запись и вернули контент после подтверждения того, что все вредоносные изменения были отменены, а источник нарушения был защищен».

GitHub заключил: «Пользователи всегда должны проверять действия GitHub или любой другой пакет, который они используют в своем коде, перед обновлением до новых версий».

Ars Technica отметил, что исследователи безопасности из Wiz уже обнаружили «десятки пользователей», пострадавших от этой атаки. «Исследовательской группе по угрозам Wiz на данный момент удалось выявить десятки репозиториев, затронутых вредоносными действиями GitHub, включая репозитории, управляемые крупными корпорациями. В этих репозиториях вредоносная нагрузка успешно выполнилась и привела к утечке секретов в журналах рабочих процессов», – заключили они.

Если ваша система использует tj-actions, убедитесь, что вы тщательно проверили ее на наличие признаков нарушения.