供应链攻击虽然发生的次数不多但每次发生都可能造成非常严重的影响,例如现在GitHubActions平台出现知名的Actions被投毒,超过23,000家企业受到此次供应链攻击的影响。
Actions是GitHub推出的精简软件平台,借助Actions可以实现CI/CD自动化(持续集成和持续部署/持续交付),开发者们可以编写多个Actions供其他开发者或企业使用。
2025年3月15日非常流行的tj-actions遭到黑客攻击,黑客修改tj-actions/changed-files中的源代码,这次更新修改开发者原本用于引用特定代码版本的标签。
这些标签正常情况下会指向某个公开可用的文件,该文件会复制运行其服务器的内部内存和搜索凭据并将其写入到日志中,在标签被修改后众多运行tj-actions/changed-files的公开存储库在日志中暴露敏感凭据。
开源安全专家HDMoore表示此次操作的可怕之处在于Actions通常可以修改存储库的源代码并访问与工作流相关的任何秘密变量例如凭据,Actions最偏执的用途是审核所有源代码,然后将特定的提交哈希而不是标签固定到工作流中。
很遗憾许多使用Actions的开发者和企业没有遵循最佳安全实践,使用tj-actions的存储库信任标签而不是经过审查版本的哈希值,最终运行内存抓取器/记录器,这种攻击对任何类型的存储库都构成潜在威胁。
tj-actions维护者透露,攻击者以某种方式窃取@tj-actions-bot用来获取被盗存储库访问权限的凭证,这名维护者表示目前还不清楚黑客是怎么盗取凭证的,为了增加安全性,这个机器人使用的密码已经修改同时增加了通行密钥作为多因素认证保护。
GitHub表示该平台本身没有出现安全漏洞或者受到此次攻击的影响,但出于谨慎考虑在受到报告后立即删除了tj-actions并暂停开发者账户,在确保所有恶意更改都恢复原样并增强账户保护措施后,tj-actions项目和开发者账户已经恢复。
最先发现此次攻击的是网络安全公司StepSecurity,该公司通过检测网络流量中出现的异常端点发现,黑客实施攻击行为的发生时间是3月16日。
网络安全公司Wiz提供的初步分析表明有数十名tj-actions用户在此次攻击中受到实际伤害,这些用户多数是企业用户,暴露的数据包括AWS访问密钥、GitHub访问令牌、npm令牌、私有的RSA私钥等。
受影响的这些企业必须将各种账户和密钥全部修改,总得来说是个非常麻烦的事情,还需要检查这些密钥对应账户的日志,看看是否出现未经授权的访问等。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】