Cảnh báo: Các GitHub Action phổ biến bị tấn công chiếm đoạt thông tin xác thực CI/CD

Một chiến dịch tấn công vào chuỗi cung ứng phần mềm (software supply chain attack) vừa được phát hiện nhắm vào các GitHub Action phổ biến. Cụ thể, các repository như actions-cool/issues-helper và actions-cool/maintain-one-comment đã bị kẻ tấn công chiếm quyền điều khiển để thực thi mã độc nhằm đánh cắp thông tin xác thực nhạy cảm từ các pipeline CI/CD.

Theo các nhà nghiên cứu từ StepSecurity, kẻ tấn công đã sử dụng kỹ thuật imposter commit. Bằng cách thay đổi các tag hiện có trong repository để trỏ đến những commit giả mạo không nằm trong lịch sử commit gốc, tin tặc có thể qua mặt các quy trình kiểm duyệt Pull Request (PR) thông thường và thực thi mã độc tùy ý trên các runner của GitHub Actions.

Khi được kích hoạt, mã độc này sẽ thực hiện các bước sau:

• Tải xuống môi trường thực thi Bun JavaScript vào runner.
• Đọc bộ nhớ từ tiến trình Runner.Worker để trích xuất thông tin xác thực.
• Gửi dữ liệu đã đánh cắp ra bên ngoài thông qua các yêu cầu HTTPS đến tên miền do kẻ tấn công kiểm soát (t.m-kosche[.]com).

GitHub hiện đã vô hiệu hóa quyền truy cập vào các repository này do vi phạm điều khoản dịch vụ. Đáng chú ý, tên miền được sử dụng trong vụ tấn công này cũng xuất hiện trong chiến dịch Mini Shai-Hulud nhắm vào hệ sinh thái npm gần đây, cho thấy mối liên hệ chặt chẽ giữa hai nhóm hoạt động này.

Khuyến nghị bảo mật:

Các chuyên gia cảnh báo rằng mọi workflow đang tham chiếu đến các action này theo phiên bản (tag) đều có nguy cơ bị ảnh hưởng. Để đảm bảo an toàn, các nhà phát triển nên kiểm tra lại các cấu hình CI/CD và ưu tiên sử dụng phương pháp ghim (pin) các action bằng mã hash commit (SHA) cụ thể thay vì sử dụng tag phiên bản, nhằm tránh việc tự động tải xuống các mã độc từ những commit bị thao túng.

Nguồn tham khảo: The Hacker News