Критическая уязвимость в GitHub Action от Xygeni: инструмент безопасности превращен в оружие
Эксклюзивно: собственный код вендора безопасности приложений был отравлен в результате шокирующей атаки на цепочку поставок через GitHub. Киберпреступникам удалось скомпрометировать действие GitHub, поддерживаемое компанией Xygeni, превратив инструмент для защиты кода в механизм для скрытой доставки вредоносного ПО.
Скомпрометированный репозиторий "xygeni-action" содержал активный имплант, обеспечивающий злоумышленникам скрытый доступ к средам разработчиков. Этот доступ сохранялся в течение целой недели до момента обнаружения. Атака демонстрирует высочайший уровень изощренности, обходя традиционные средства защиты через компрометацию доверенного источника.
Это не просто утечка данных, а целенаправленная атака на цепочку поставок программного обеспечения. Метод указывает на использование потенциальной уязвимости нулевого дня или сложной схемы социальной инженерии против самого вендора. Инцидент обнажает ужасающую брешь в фундаментальных инструментах, используемых для сборки современного ПО.
"Доверие к открытым репозиториям — это основа DevOps. Данный инцидент разрушает это доверие", — предупреждает старший специалист по реагированию на инциденты. Когда инструменты самого вендора безопасности захвачены, это доказывает, что никто не защищен. Злоумышленники тщательно изучают конвейеры CI/CD в поисках уязвимых точек.
Для каждой компании, использующей автоматизированные рабочие процессы, это сигнал высшей тревоги. Отравленное действие может тихо похищать исходный код, внедрять бэкдоры или собирать учетные данные, что ведет к катастрофическим последствиям. Это событие доказывает, что проверка целостности кода и блокчейн для подтверждения происхождения стали насущной необходимостью.
Ожидается, что данная атака спровоцирует массовый отраслевой аудит сторонних действий GitHub и аналогичных зависимостей. Гонка за безопасность цепочки поставок программного обеспечения достигла критической точки. Криптосообществу следует быть особенно бдительным к аналогичным тактикам, нацеленным на инструменты развертывания смарт-контрактов.
