Хакеры вскрыли GitHub Actions — тысячи разработчиков потеряли свои секреты

Гитхаб снова на слуху, но в этот раз не по хорошей причине. Тысячи разработчиков по всему миру обнаружили, что их конфиденциальная информация попала в руки злоумышленников. Как это произошло? Очень просто: хакеры использовали уязвимость в GitHub Actions, а именно — инструменте tj-actions/changed-files, и теперь множество репозиториев пустуют от секретных ключей и паролей.

Что на самом деле произошло? Хакеры не просто украли парочку данных, а вытащили всё, что только могли. С помощью модификации кода они заставили инструмент собирать информацию с серверов, включая ключи AWS, токены GitHub, npm и даже закрытые RSA-ключи. А все потому, что большинство разработчиков продолжают использовать плавающие теги для зависимостей, давая злоумышленникам шанс подменить файлы без лишних подозрений.

Как же хакеры пробрались внутрь? Всё оказалось банально: они взломали учётную запись бота @tj-actions-bot, через которую и начали внедрять вредоносные изменения. Детали, как именно произошла компрометация, до сих пор не раскрыты. После инцидента GitHub предпринял меры безопасности, удалив заражённые изменения, но это уже не спасло сотни репозиториев, которые остались под угрозой.

Этот инцидент поднимает тревогу: цепочки поставок в open-source становятся всё уязвимее. В прошлом году аналогичная атака на xz Utils и фишинговые кампании среди разработчиков GitHub уже показали, как легко можно попасть в ловушку. Разработчики, будьте бдительны: без должной защиты даже самые проверенные инструменты могут стать причиной кражи ваших самых ценных данных.