GhostAction: атака на цепочку поставок GitHub и утечка секретов

5 сентября 2025 года исследователи из GitGuardian раскрыли масштабную кампанию под названием GhostAction, представляющую собой скоординированную атаку по цепочке поставок программного обеспечения. По данным расследования, злоумышленники скомпрометировали 327 учетных записей пользователей GitHub и внедрили вредоносные рабочие процессы в 817 репозиториев, что привело к эксфильтрации 3325 секретов, включая токены из PyPI, npm и DockerHub.

Как работала атака

Вектор компрометации опирался на поддельные или модифицированные рабочие процессы GitHub Actions, маскировавшиеся под улучшения безопасности. Вредоносные файлы имели название:

«Add GitHub Actions Security workflow»

Ключевые элементы методики:

• вредоносный код в workflow запускался либо вручную, либо при нажатии кнопки;
• рабочие процессы были настроены на поиск и соответствие конкретным именам секретов, найденных в скомпрометированных репозиториях, что повышало вероятность успешной эксфильтрации;
• компрометация учетной записи разработчика позволяла злоумышленникам повышать привилегии и иметь доступ к секретам CI/CD, что могло открыть путь в производственные среды.

Масштаб и последствия

Воздействие GhostAction оказалось обширным: атаке подверглись целые портфели SDK для нескольких языков программирования — в частности Python, Rust, JavaScript и Go. Этот инцидент демонстрирует, как компрометация одной учетной записи разработчика может привести к цепной реакции и поставить под угрозу безопасность многочисленных проектов и продуктов.

Обнаружение и реакция

Процесс расследования инициировали внутренние системы мониторинга GitGuardian, которые зафиксировали подозрительную активность вокруг проекта FastUUID. Исследовательская команда быстро выделила вредоносный шаблон рабочего процесса и расширила анализ, выявив широкие масштабы кампании. Быстрая реакция помогла сократить потенциальный ущерб: несмотря на факт эксфильтрации секретов, сообщений о выпуске вредоносных пакетов в реестры обнаружено не было.

Рекомендации GitGuardian

GitGuardian настоятельно рекомендует владельцам и администраторам затронутых репозиториев выполнить следующие действия немедленно:

• аудит репозиториев на предмет наличия вредоносных рабочих процессов;
• удаление любых выявленных угроз и нежелательных workflow-файлов;
• внедрение политики по блокированию secret exfiltration из непросмотренных рабочих процессов — политика должна предотвращать доступ к секретам из неавторизованных или непроверенных workflow;
• включение правил защиты веток (branch protection), требующих проверки pull request перед слиянием изменений, особенно для файлов workflow.

Дополнительные меры безопасности (рекомендации эксперта)

• ротировать и отзывать потенциально скомпрометированные секреты и токены;
• минимизировать привилегии токенов и использовать ограниченные scope для CI/CD-учетных данных;
• включить мониторинг использования секретов и оповещения о подозрительной активности в реестрах пакетов и облачных сервисах;
• обязать многофакторную аутентификацию (MFA) для учетных записей разработчиков и сервисных аккаунтов;
• проводить регулярные ревью workflow-файлов и использовать утвержденные шаблоны для GitHub Actions.

Вывод

Кампания GhostAction — наглядный пример того, что уязвимость одной учетной записи разработчика может стать точкой входа для масштабной атаки на цепочку поставок программного обеспечения. В условиях роста зависимости проектов от CI/CD и внешних регистров пакетов организациям необходимо срочно повышать зрелость процессов управления секретами, контроля изменений и проверки рабочих процессов, чтобы предотвратить повторение подобных инцидентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.