Компрометация цепочки поставок: GitHub Action Xygeni скомпрометирован через атаку отравления тегов
Раскрыта критическая уязвимость в цепочке поставок программного обеспечения, затрагивающая GitHub Action компании-поставщика средств безопасности приложений Xygeni. Исследователи подтвердили, что злоумышленникам удалось скомпрометировать официальный репозиторий `xygeni/xygeni-action` с помощью сложной техники, известной как "отравление тегов". Эта атака позволила угрозовым акторам оперативно управлять имплантом командного центра в скомпрометированном действии в течение недели, создав серьёзную угрозу для всех конвейеров разработки, использовавших этот инструмент.
Вектор атаки, отравление тегов, эксплуатирует механизмы доверия в системах контроля версий, таких как Git. Злоумышленники создают или манипулируют Git-тегами, которые обычно отмечают определённые точки в истории репозитория, чтобы они ссылались на вредоносные коммиты. Когда разработчики или автоматизированные системы ссылаются на эти отравленные теги, они непреднамеренно загружают и выполняют вредоносный код. В данном случае отравленный тег в репозитории Xygeni служил механизмом доставки импланта, предоставляя атакующим устойчивый плацдарм в средах сборки.
Последствия этого инцидента серьёзны для безопасности цепочек поставок. GitHub Actions широко используются для автоматизации процессов разработки, а компрометация действия от вендора безопасности особенно тревожна из-за высокого уровня доверия к таким инструментам. Организации, использовавшие `xygeni-action` в период компрометации, могли подвергнуть инфильтрации свои процессы сборки, что потенциально ведёт к развёртыванию вредоносного ПО, эксфильтрации данных или внедрению скрытых возможностей в их артефакты.
В ответ на обнаружение Xygeni, вероятно, приняла меры по очистке репозитория, удалению вредоносных тегов и отзыву скомпрометированных токенов доступа. Широкое сообщество специалистов по безопасности подчёркивает необходимость внедрения строгих практик защиты цепочек поставок. Ключевые рекомендации включают жёсткую привязку действий и зависимостей к криптографическим хэшам коммитов, а не к изменяемым тегам, автоматическое сканирование на подозрительные изменения в зависимостях и ведение детальной описи программных компонентов.
Этот инцидент наглядно демонстрирует растущую тенденцию, когда атакующие целенаправленно поражают фундаментальные инструменты и платформы автоматизации, лежащие в основе современных практик DevOps. Успешная атака на продукт компании, специализирующейся на безопасности, служит суровым напоминанием о том, что ни одно звено в цепочке не может считаться абсолютно надёжным без многоуровневой защиты и постоянной проверки.
