報導摘要
在快速發展的軟體開發領域,開源專案與自動化工具的普及極大地提升了開發效率。然而,這些便利的背後也隱藏著日益複雜的資安威脅。近期,一場名為 GhostAction 的供應鏈攻擊引起了全球開發者與資安界的廣泛關注。駭客利用惡意的 GitHub Actions 工作流程,成功入侵並竊取了數百個程式碼儲存庫中的數千個機密資訊。這起事件不僅凸顯了軟體供應鏈的脆弱性,也再次證明了在現代開發環境中,程式碼安全的重要性不容忽視。
攻擊手法與事件解析
開發安全公司 GitGuardian 週五透露,涉及惡意 GitHub Action 工作流程的供應鏈攻擊已影響數百個儲存庫和數千個機密。 這場攻擊的技術手法相當複雜且具備高度的針對性。其核心在於利用 GitHub Actions 這個自動化工具的弱點,將惡意程式碼注入到正常的開發流程中。
事件的開端,是由 GitGuardian 在 9 月 2 日的一次內部監控中被發現的。他們注意到,內部使用的 FastUUID 專案的維護者之一的 GitHub 帳戶遭到入侵,並且惡意工作流程檔案被注入該專案。這個惡意工作流程的設計目的非常明確:在不被察覺的情況下,竊取儲存在專案環境變數中的各種敏感資料,並將其傳輸至攻擊者控制的伺服器。
惡意工作流程會主動收集各種機密,其中包含 DockerHub 憑證、GitHub Tokens、NPM Tokens,以及用於 Sonar、Confluence 和 AWS 等服務的憑證。這些被竊取的機密資料,讓駭客得以進一步擴大其攻擊範圍,不僅能存取受害者的其他帳戶,甚至能入侵其他關聯的系統。
在 FastUUID 專案的案例中,攻擊者雖然取得了用於軟體包部署的 PyPI 令牌,但值得慶幸的是,這個令牌並未被用於危害該軟體包本身。然而,這僅僅是冰山一角。GitGuardian 後續的深入調查顯示,這起事件並非單一攻擊,而是一個名為 GhostAction 的大規模惡意活動的一部分。
攻擊者利用了多種手法來執行這場供應鏈攻擊,包括但不限於入侵程式碼維護者的帳戶、將惡意程式碼植入到自動化工作流程中、以及利用這些流程來收集機密資訊。這種攻擊方式的危險性在於,它不僅針對單一系統,而是透過軟體供應鏈的信任關係進行橫向移動,對整個開發生態系統造成威脅。
GitGuardian 的攻擊指標 (IoC) 分析顯示,這場惡意活動針對了 327 名 GitHub 用戶(註)和 817 個儲存庫。這數百個儲存庫中,總計有超過 3,300 個機密被洩露。GitGuardian 的分析人員證實,攻擊者正在積極利用這些竊取的機密進行更進一步的攻擊。報告指出,數家公司的整個軟體開發套件(SDK)產品組合因此而受到影響。這證明了這場攻擊的破壞力之大,以及其對企業資產造成的潛在威脅。
註:GitHub 用戶是指在程式碼託管與協作平台 GitHub 上註冊帳號的個人或實體。
企業與開發者應對措施
面對 GhostAction 這類複雜的供應鏈攻擊,企業和開發者必須採取多層次的防禦策略。
實施嚴格的帳戶安全措施:所有開發者,特別是負責維護重要開源專案的人員,應立即啟用多重身份驗證(MFA),並定期更換其 GitHub 帳戶密碼。MFA 是防止帳戶被盜用的第一道防線,即使駭客取得密碼,也無法登入。
審慎管理機密資訊:開發者應避免在程式碼儲存庫中直接存放機密資訊。應使用專門的密碼管理工具或環境變數來管理API金鑰、令牌等敏感資料。同時,應審視並限制 GitHub Actions 工作流程對這些機密的存取權限,只給予必要的最低權限。
定期審查與監控:企業應定期對程式碼儲存庫進行安全審查,特別是針對第三方套件和自動化工作流程。使用 GitGuardian 這類開發安全工具,可以自動掃描程式碼中的機密、分析供應鏈風險,並在第一時間發出警報。
即時更新與聯絡:GitGuardian 已通知受影響的儲存庫,並警示 GitHub、PyPI 和 NPM 的安全團隊,以防止惡意活動進一步擴散。開發者應關注這些平台的官方公告,並根據指示立即採取行動,例如輪換受影響的令牌和憑證。
總結
GhostAction 供應鏈攻擊事件再次向我們敲響警鐘,提醒我們在現代軟體開發中,資安威脅無處不在。駭客不再僅僅攻擊最終產品,而是將目標轉向整個供應鏈。只有透過全面性的防禦措施,包括加強帳戶安全、嚴格管理機密、以及持續監控與審查,才能有效保護我們的程式碼資產,並確保軟體供應鏈的完整與安全。
資料來源:https://www.securityweek.com/github-workflows-attack-affects-hundreds-of-repos-thousands-of-secrets/