供應鏈攻擊雖然發生的次數不多但每次發生都可能造成非常嚴重的影響,例如現在 GitHub Actions 平臺出現知名的 Actions 被投毒,超過 23,000 家企業受到此次供應鏈攻擊的影響。
Actions 是 GitHub 推出的精簡軟體平臺,藉助 Actions 可以實現 CI/CD 自動化 (持續整合和持續部署 / 持續交付),開發者們可以編寫多個 Actions 供其他開發者或企業使用。
2025 年 3 月 15 日非常流行的 tj-actions 遭到駭客攻擊,駭客修改 tj-actions/changed-files 中的原始碼,這次更新修改開發者原本用於引用特定程式碼版本的標籤。
這些標籤正常情況下會指向某個公開可用的檔案,該檔案會複製執行其伺服器的內部記憶體和搜尋憑據並將其寫入到日誌中,在標籤被修改後眾多執行 tj-actions/changed-files 的公開儲存庫在日誌中暴露敏感憑據。
開源安全專家 HD Moore 表示此次操作的可怕之處在於 Actions 通常可以修改儲存庫的原始碼並訪問與工作流相關的任何秘密變數例如憑據,Actions 最偏執的用途是稽核所有原始碼,然後將特定的提交雜湊而不是標籤固定到工作流中。
很遺憾許多使用 Actions 的開發者和企業沒有遵循最佳安全實踐,使用 tj-actions 的儲存庫信任標籤而不是經過審查版本的雜湊值,最終執行記憶體抓取器 / 記錄器,這種攻擊對任何型別的儲存庫都構成潛在威脅。
tj-actions 維護者透露,攻擊者以某種方式竊取 @tj-actions-bot 用來獲取被盜儲存庫訪問許可權的憑證,這名維護者表示目前還不清楚駭客是怎麼盜取憑證的,為了增加安全性,這個機器人使用的密碼已經修改同時增加了通行金鑰作為多因素認證保護。
GitHub 表示該平臺本身沒有出現安全漏洞或者受到此次攻擊的影響,但出於謹慎考慮在受到報告後立即刪除了 tj-actions 並暫停開發者賬戶,在確保所有惡意更改都恢復原樣並增強賬戶保護措施後,tj-actions 專案和開發者賬戶已經恢復。
最先發現此次攻擊的是網路安全公司 StepSecurity,該公司透過檢測網路流量中出現的異常端點發現,駭客實施攻擊行為的發生時間是 3 月 16 日。
網路安全公司 Wiz 提供的初步分析表明有數十名 tj-actions 使用者在此次攻擊中受到實際傷害,這些使用者多數是企業使用者,暴露的資料包括 AWS 訪問金鑰、GitHub 訪問令牌、npm 令牌、私有的 RSA 私鑰等。
受影響的這些企業必須將各種賬戶和金鑰全部修改,總得來說是個非常麻煩的事情,還需要檢查這些金鑰對應賬戶的日誌,看看是否出現未經授權的訪問等。
