Attacco alla Supply Chain di GitHub Actions: Attenzione ai Credenziali CI/CD! Recentemente, il mondo della sicurezza informatica è stato scosso da un attacco alla supply chain di GitHub Actions, una delle piattaforme più utilizzate per l'integrazione continua e il deploy…
Attacco alla Supply Chain di GitHub Actions: Attenzione ai Credenziali CI/CD!
Recentemente, il mondo della sicurezza informatica è stato scosso da un attacco alla supply chain di GitHub Actions, una delle piattaforme più utilizzate per l’integrazione continua e il deploy continuo (CI/CD). La vulnerabilità è stata sfruttata dai malintenzionati mediante una modifica delle tag di un repository, la quale ha portato al furto di credenziali sensibili. Questo episodio rappresenta un monito per sviluppatori e aziende, comprese quelle italiane, riguardanti la sicurezza delle proprie applicazioni.
Rilevanza dell’Attacco
I ricercatori di StepSecurity hanno recentemente scoperto che un popolare workflow di GitHub Actions, “actions-cool/issues-helper”, è stato compromesso. In questo sfruttamento, tutte le tag del repository sono state reindirizzate verso un commit falso, il quale non è visibile nella normale cronologia delle modifiche. Questo commit contiene codice malevolo progettato per rubare le credenziali dalle pipeline CI/CD che eseguono l’azione. “Ogni tag ora punta a questi commit ingannevoli, consentendo l’esecuzione di codice non autorizzato”, ha dichiarato Varun Sharma di StepSecurity.
L’attacco si avvale di una tecnica nota come “imposter commit”, dove il codice malevolo viene iniettato in un progetto facendo riferimento a un commit o a una tag che esiste solo in un fork controllato dall’attaccante. Questo consente di eludere le normali procedure di revisione delle Pull Request (PR) e di eseguire codice arbitrario.
Come Funziona il Furto delle Credenziali?
Il codice all’interno del commit impostore effettua diverse operazioni dannose una volta attivato da un runner di GitHub Actions. In particolare:
- Download del runtime JavaScript Bun sul runner.
- Lettura della memoria del processo Runner.Worker per estrarre le credenziali.
- Invio delle informazioni rubate a un dominio controllato dagli aggressori, “t.m-kosche[.]com”.
Questo attacco non è isolato; StepSecurity ha rilevato che anche un secondo workflow, “actions-cool/maintain-one-comment”, ha subito lo stesso tipo di compromissione.
Reazioni e Implicazioni Future
A seguito di queste scoperte, GitHub ha disabilitato l’accesso al repository compromesso per violazione delle proprie policy. Tuttavia, è ancora ignoto il motivo specifico che ha portato a questa decisione. È interessante notare che il dominio utilizzato per l’exfiltrazione delle credenziali è stato coinvolto in altre campagne malevole, segnalando una potenziale rete più ampia di attacchi.
“Poiché ogni tag ora porta a commit malevoli, qualsiasi workflow che fa riferimento all’azione di versione eseguirà il codice dannoso alla prossima esecuzione”, avvertono i ricercatori. L’unico modo per essere al riparo da questa vulnerabilità è utilizzare commit SHA di cui si conosce l’affidabilità.
Conclusione Pratica
Per le aziende italiane che utilizzano GitHub Actions e simili tecnologie, è fondamentale mantenere alti standard di sicurezza. È consigliabile adottare prassi come il pinning su SHA noti e effettuare controlli regolari sui propri workflow e repository. Questo episodio serve da richiamo a una maggiore consapevolezza e vigilanza, affinché le credenziali e i dati sensibili non cadano nelle mani sbagliate. La sicurezza informatica è responsabilità di tutti e il costo della negligenza può rivelarsi estremamente elevato.
