Εισαγωγή στην Αλυσίδα Επιθέσεων GitHub Actions
Μια νέα καμπάνια επίθεσης έχει ανακύψει, στοχεύοντας αποθετήρια ανοιχτού κώδικα στο GitHub, αποκρύπτοντας κακόβουλο κώδικα ως εντελώς φυσιολογικές ενημερώσεις διαμόρφωσης CI (Continuous Integration). Η καμπάνια γνωστή ως prt-scan εκμεταλλεύεται ένα ευρέως χρησιμοποιούμενο έναυσμα ροής εργασιών GitHub Actions, προκειμένου να κλέψει ευαίσθητα διακριτικά, διαπιστευτήρια και μυστικά cloud από προγραμματιστές που ενεργοποιούν εν αγνοία τους τα δόλια αιτήματα έλξης.
Στρατηγική Επίθεσης
Η καμπάνια όφειλε την εμφάνισή της σε μια καινοτόμο στρατηγική, που παρατήρησε για πρώτη φορά στις 11 Μαρτίου 2026. Οι επιτιθέμενοι χρησιμοποίησαν λογαριασμούς όπως ο δοκιμαστεί πριν και υπέβαλαν κακόβουλα αιτήματα έλξης σε μικρά αποθετήρια. Στις επόμενες εβδομάδες, ο ίδιος ηθοποιός εκτέλεσε περισσότερα από 500 κακόβουλα pull requests (PR) μέσω έξι διακριτών λογαριασμών GitHub.
Διαπιστώθηκε ότι η αύξηση της καμπάνιας ήρθε στις 2 Απριλίου 2026, όταν ο ερευνητής ασφαλείας Charlie Eriksen δημοσίευσε τη δραστηριότητα του λογαριασμού ezmtebo, ο οποίος υπέβαλε περισσότερα από 475 κακόβουλα PR σε 26 ώρες.
Πώς Λειτουργεί η Καμπάνια
Ο εισβολέας παραβίασε με επιτυχία δύο πακέτα npm, @codfish/eslint-config και @codfish/actions, και απέκτησε κλειδιά AWS, κουπόνια Cloudflare API και διακριτικά Netlify. Επιπλέον, στόχοι υψηλού προφίλ όπως το Sentry και το OpenSearch απέκλεισαν τις επιθέσεις μέσω ικανοποιητικών αδειών συνεργατών.
Κυριότερες Τεχνικές
- Χρήση αυτοματισμού AI για προσαρμογή στα αποθετήρια στόχους.
- Εξαφάνιση κακόβουλων κωδίκων πίσω από φαινομενικά αθώες ενημερώσεις.
- Διαφορετικά ωφέλιμα φορτία ανάλογα με τη γλώσσα προγραμματισμού.
Πώς Λειτουργεί η Επίθεση
Η εκστρατεία εκμεταλλεύεται την pull_request_target ενεργοποίηση, εκτελώντας τον κώδικα στο πλαίσιο του αποθετηρίου βάσης. Αυτό παρέχει πλήρη πρόσβαση στα μυστικά του αποθετηρίου, ακόμη και αν το PR προέρχεται από αναξιόπιστο λογαριασμό. Ο εισβολέας, όταν εκτελείται η ευάλωτη ροή εργασίας, ξεκινά με πέντε φάσεις:
- Εξαγωγή του GITHUB_TOKEN και κωδικοποίηση σε base64.
- Χρήση του κλεμμένου διακριτικού για κλήσεις στο GitHub API.
- Καταγραφή μυστικών και διαπιστευτηρίων από εν δυνάμει πηγές.
Συστάσεις για Προστασία
Οι οργανισμοί θα πρέπει να αναλάβουν άμεσα δράση ελέγχοντας τα αποθετήρια GitHub τους για δείκτες πιθανών συμβιβασμών. Επιπλέον, συστήνεται:
- Έλεγχος υποκαταστημάτων για πρότυπα prt-scan-[12-character-hex].
- Περιορισμός των pull_request_target μόνο σε εγκεκριμένους συνεισφέροντες.
- Ανάγκη αλλαγής τυχόν εκτεθειμένων διαπιστευτηρίων χωρίς καθυστέρηση.
Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε την αναφορά της Wiz Research.