Зловредна атака компрометира популярна GitHub Action за кражба на CI/CD креденшъли

Зловредна атака компрометира популярна GitHub Action за кражба на CI/CD креденшъли
Хакери са поели контрол върху популярния GitHub Action 'actions-cool/issues-helper', като са пренасочили всички съществуващи тагове към злонамерен комит, който събира и източва чувствителни CI/CD креденшъли към сървър под техен контрол.
В пореден случай на атака по веригата за доставки на софтуер, злонамерени лица са компрометирали популярния GitHub Actions workflow 'actions-cool/issues-helper'. Атаката се състои в това, че всички съществуващи тагове в хранилището са пренасочени към импосторски комит, който не присъства в нормалната история на комитите на действието. Това позволява на атакуващите да изпълняват злонамерен код, който събира чувствителни креденшъли, използвани за CI/CD процеси, и ги изпраща към сървър, контролиран от тях. Този вид атаки подчертават уязвимостите в екосистемата на GitHub Actions и необходимостта от засилени мерки за сигурност при използване на външни автоматизации и скриптове в процесите на разработка и внедряване на софтуер.

Тази статия е автоматично обобщена и структурирана от AI News Tech въз основа на публично достъпни технологични източници.

Източници

Видео по темата

Sony Announces End of Physical Discs
Sony Announces End of Physical Discs Linus Tech Tips
Game Physics Just Got 170 Times Faster
Game Physics Just Got 170 Times Faster Two Minute Papers
MSI Trades Security for RGB
MSI Trades Security for RGB Gamers Nexus
The Best Car I've Ever Driven: McLaren W1
The Best Car I've Ever Driven: McLaren W1 Marques Brownlee