|
Популярные теги GitHub Actions перенаправлены на поддельный коммит для кражи учетных данных CI/CD
https://blogger.googleusercontent.co...-e365/step.jpg
В очередной атаке на цепочку поставок программного обеспечения злоумышленники скомпрометировали популярный рабочий процесс GitHub Actions под названием actions-cool/issues-helper. В результате этого была запущена вредоносная программа, которая собирает чувствительные учетные данные и передает их на сервер, контролируемый атакующими. Все существующие теги в репозитории были перенаправлены на поддельный коммит, который не отображается в обычной истории коммитов данного действия. Это означает, что пользователи, использующие эти теги, могут не подозревать о наличии угрозы и продолжать применять уязвимый код в своих проектах. Злоумышленники использовали эту уязвимость для извлечения учетных данных CI/CD, что может привести к серьезным последствиям для компаний и организаций, использующих данный инструмент. Учитывая широкое распространение GitHub Actions в процессе разработки, такие атаки представляют собой значительную угрозу для безопасности программного обеспечения. Эксперты по кибербезопасности рекомендуют разработчикам быть особенно осторожными при использовании сторонних действий и регулярно проверять свои зависимости на наличие возможных уязвимостей. Необходимо также следить за обновлениями репозиториев и отзывами сообщества о безопасности используемых инструментов. Данная атака подчеркивает важность соблюдения мер безопасности и внимательного отношения к любым изменениям в коде, особенно если речь идет о публичных репозиториях. Разработчикам следует применять дополнительные меры по защите своих систем и учетных данных, чтобы минимизировать риски в будущем. Источник новости: The Hacker News Читать полностью |
| Время: 15:58 |