報導摘要

2025年7月，Armis Labs發布一份報告，指出GitHub Actions、自動化流程的Gravity Forms外掛與npm生態中受歡迎的UAParser.js都遭供應鏈攻擊，導致大量專案受到惡意程式碼、後門或毒碼污染，影響軟體開發與部署流程。此類攻擊從信任開發工具入手，引發高度風險。

資安風險

1. GitHub Actions流程被植入惡意程式碼：攻擊者取代 reviewdog/action-setup@v1版本引用指向惡意代碼，並竄改另一個action（tj-actions/changed-files），借助PAT權杖發推commit，使所有使用者執行CI/CD時自動執行惡意程式，造成最多二萬三千個儲存庫受影響。
2. npm包UAParser.js被污染：UAParser.js作為每週下載量超過一千六百萬次的 npm 套件，一旦被注入後門，危害範圍極廣，尤其涉及前端與服務端分析使用者裝置資訊的應用。
3. Gravity Forms插件遭攻擊：作為WordPress最受歡迎的表單產生外掛之一，其安全漏洞可能被植入後門或毒碼，風險波及超過二十萬至九十萬以上活躍網站。

安全影響

這些攻擊事件揭示供應鏈信任關係易被濫用的嚴重問題。GitHub採用的CI/CD工具、開發者共用的npm套件與內容管理平台的外掛，若未有效管控即可能成為攻擊入口。一旦惡意代碼運行在開發流程或部署管道中，攻擊者便可竊取私密金鑰、環境變數，甚至進行遠端執行，對企業軟體製程與產出造成長期危害。

行動建議

1. 釘選（pin）GitHub Actions與npm套件的確定版本，避免使用最新tag或通配符版本，減少受到惡意程式推送影響。
2. 強制執行commit簽章與受保護分支策略，限制誰能commit，防止使用者推送惡意變更；並定期撤銷不必要的PAT權杖。
3. 導入依賴安全掃描工具與行為分析系統，及時偵測未授權變更與後門程式碼。
4. 審查Gravity Forms等WordPress插件來源，僅安裝可信渠道釋出版本，且保持更新至官方補強版本。
5. 實施程式碼簽章（如Sigstore支援npm簽名驗證）以驗證套件源頭與完整性。
6. 教育開發與DevOps團隊：提高對釣魚、錯誤授權流程與供應鏈攻擊模式的警覺。

結論

Armis Labs對GitHub Actions、Gravity Forms 與 UAParser.js/npm的攻擊揭示：供應鏈安全已成為企業應用軟體重要防線。即使是看似可信的自動化流程與套件，也可能成為跳板引入後門與毒碼。企業須從源頭落實版本釘選、依賴檢查、安全掃描與程式碼簽章，並定期檢測CI/CD流程與插件使用情況，才能有效降低風險，保護軟體開發與營運完整性。