Цепочка поставок GitHub заражена: секреты компаний в опасности

20.03.2025 |

Цепочка поставок GitHub заражена: секреты компаний в опасности

Изображение: Газинформсервис

Критическая уязвимость в популярном инструменте автоматизации GitHub Actions поставила под угрозу тысячи проектов. Злоумышленники, скомпрометировав действие reviewdog/action-setup через внедрение вредоносного кода в зависимость tj-actions/changed-files, получили доступ к конфиденциальной информации множества репозиториев. Это яркий пример опасности каскадных атак на цепочку поставок.

«В первую очередь, от подобных атак страдают DevOps-инженеры», — комментирует Михаил Спицын, эксперт по кибербезопасности компании «Газинформсервис». — «Если скомпрометирован Github Actions, что собирается через CI/CD-платформу, он оказывается под угрозой. Всё указывает на критическую уязвимость в цепочке поставок и подчёркивает необходимость более строгого управления зависимостями и секретами».

Спицын объясняет: внедрившись в один-единственный проект (reviewdog/action-setup), начиная с действия tj-actions/changed-files, злоумышленник использует уязвимость в цепочке поставок и, как следствие, получает доступ к тысячам других репозиториев и их конфиденциальной информации.

«Подобные атаки будут повторяться, если не усилить процесс аудита кода, не ужесточить контроль над токенами и не внедрить практики безопасности. На защиту бизнеса в таком случае приходит SafeERP, анализатор кода в котором имеет интеграцию с GIT, выгрузку и возможность встроиться в CI / CD. Помимо проверки зависимостей, минимизации привилегий, проверок исходного кода как превентивных мер, необходимо организовать меры митигации. Использование системы мониторинга логов, такой как Ankey SIEM NG, позволит проверять инфраструктуру на предмет подозрительных действий, таких как выполнение неизвестных команд или передача данных», — предупреждает эксперт.