Сотни пользователей и репозиториев GitHub пострадали от очередной атаки на цепочку поставок, в ходе которой хакеры уже похитили более 3000 единиц чувствительной информации, сообщила ИБ-компания GitGuardian.
Поставщик решений безопасности впервые заметил подозрительную активность, связанную с репозиторием GitHub и проектом FastUUID, 5 сентября. Взломанный мейнтейнер разместил вредоносный коммит, который содержал файл рабочего процесса GitHub, предназначенный для кражи секретных данных, в частности токена PyPI.
«Хотя этот токен должен был позволить злоумышленнику скомпрометировать пакет FastUUID на PyPI, мы не обнаружили никаких свидетельств выпуска вредоносных пакетов в течение окна компрометации, — пояснили в GitGuardian. — Бездействие злоумышленника в течение трёх дней после первоначальной компрометации позволяет предположить, что FastUUID не был основной целью. Наше расследование выявило гораздо более масштабную операцию».
При более глубоком анализе безопасники зафиксировали сотни подобных вредоносных коммитов в нескольких репозиториях, связанных с одним и тем же взломанным пользователем и конечной точкой утечки. В общей сложности жертвами кампании стало 327 пользователей в 817 репозиториях, что привело к утечке 3325 единиц чувствительной информации. Эксперты окрестили эту кампанию GhostAction.
Учётные данные DockerHub, токены GitHub и токены npm были наиболее распространённым типом секретных данных, похищаемых в ходе акции. GitGuardian оперативно проинформировала пострадавших пользователей. Компания заявила, что 100 затронутых репозиториев уже отменило вредоносные изменения, внесённые хакерами, но сотни других всё ещё находятся под угрозой.
«Это раскрытие информации дало старт оперативным действиям по устранению неполадок. Предварительные переговоры с пострадавшими разработчиками подтвердили, что злоумышленники активно эксплуатировали украденные секретные данные, включая ключи доступа AWS и учётные данные базы данных», — пояснили безопасники.
Усам Оздемиров
