在DevOps盛行的現代軟體開發流程中,持續整合與持續部署(CI/CD)扮演了核心角色。這類自動化工作流程極大地提高了開發效率,但同時也成為網路攻擊者的新目標。近期震驚資安界的「GhostAction」供應鏈攻擊,正是駭客利用GitHub Actions的特性,對開源生態系發動的一次大規模機密竊取行動。這場攻擊不僅揭示了CI/CD流程中的潛在漏洞,也再次證明了供應鏈攻擊的複雜與難以防禦性。
攻擊者的手法與影響範圍
2025年9月2日,一位名為Grommash9的GitHub用戶向FastUUID專案提交了一個新的工作流程檔案,FastUUID是一個開源 Python 函式庫,用於高效產生和使用通用唯一識別碼 (UUID)。該檔案名為“Github Actions Security”,看似與常規自動化腳本類似,但後來被發現包含旨在收集CI/CD機密並將其發送到外部伺服器的惡意程式碼。
GitGuardian 的後續分析顯示,共有 817 個程式碼庫的 327 名開發人員受到影響,攻擊者竊取了超過3,325 個機密資訊,攻擊者使用了幾乎相同的工作流程。該公司目前將此次攻擊稱為「GhostAction」供應鏈攻擊。
攻擊手法相當狡猾且具針對性。駭客並非隨機發送惡意程式碼,而是仔細分析每個受害者程式庫中既有的合法工作流程檔案。他們會識別正在使用的機密名稱,例如DockerHub憑證、GitHub權杖或npm發布金鑰,然後將這些特定的機密名稱硬編碼到惡意工作流程中。這使得惡意程式碼看起來更為自然,且能確保成功竊取到特定且有價值的憑證。被竊取的機密隨後被打包成HTTP POST請求,並發送到一個外部伺服器(IP位址為45.139.104.115)。
被竊機密的用途與後續危害
被盜的機密不僅限於單純的登入憑證。這批竊取來的資料包括DockerHub憑證、GitHub權杖、npm發布金鑰等,這些都是開發流程中極為敏感且具備高度權限的資產。攻擊者甚至利用部分竊取的機密,試圖存取AWS雲端環境和資料庫服務。這代表攻擊的最終目的不只是竊取程式碼,更是要藉此獲得橫向移動的能力,進而入侵企業的雲端基礎設施。
更令人擔憂的是,部分受害公司發現其整個軟體開發工具包(SDK)產品組合都遭到了竄改。這意味著惡意程式碼可能被植入到已發布的軟體中,進一步將風險傳遞給最終使用者。這正是典型的供應鏈攻擊,攻擊者透過一個薄弱的環節,將惡意影響擴散到整個供應鏈。
防禦與未來展望
面對這場資安危機,發現攻擊的GitGuardian立即將情況通報給GitHub、npm和PyPI等平台,以採取緊急緩解措施,防止進一步的損害。
這起事件為所有開發人員和組織提供了寶貴的教訓。為了防禦類似的攻擊,企業應採取以下策略:
嚴格審核工作流程檔案: 實施嚴格的程式碼審查政策,特別是針對第三方貢獻者提交的CI/CD工作流程檔案。
最小化權限原則: 確保自動化腳本的權限僅限於完成其任務所需,避免給予過高的讀寫權限。
定期輪換機密: 定期或在懷疑被盜時立即輪換所有CI/CD機密,包括GitHub權杖、API金鑰等。
監控異常活動: 部署自動化監控系統,追蹤與機密相關的異常行為,例如從不尋常的IP位址發送請求或異常的資料外傳。
「GhostAction」攻擊是DevOps與開源生態系面臨的最新挑戰。在追求自動化與效率的同時,資安防護絕不容忽視。只有建立起健全的防禦機制,並提高對潛在威脅的警覺性,才能有效保護企業的數位資產與客戶數據,確保整個供應鏈的穩固與安全。
資料來源:https://hackread.com/ghostaction-attack-steals-github-projects-secrets/