VMTech
+381 11 4150 20024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

Tagovi GitHub Actions preusmereni na lažne commitove — kradu CI/CD akreditive

Теги GitHub Actions перенаправлены на импостер‑коммиты — похищают CI/CD учётные данные

Kolege, želim da skrenem pažnju u oblasti kibernetske bezbednosti: kompromitovan je GitHub Action actions-cool/issues-helper.
StepSecurity je otkrio da svi tagovi ukazuju na lažne commitove sa zlonamernim kodom. Kod preuzima Bun, čita memoriju Runner.Worker da izvuče akreditive i šalje ih na t.m-kosche[.]com.
Takođe je kompromitovano 15 tagova actions-cool/maintain-one-comment. GitHub je onemogućio pristup.
Samo workflow-i zaključani na puni SHA ostaju bezbedni.
Zašto je važno: napadači dobijaju izvršenje u CI/CD i kradu kredencijale, ugrožavajući lanac snabdevanja.
Da li Vi zakačujete akcije na puni SHA ili planirate druge mere?
#kibernetskaBezbednost #lanacSnabdevanja #CI_CD #GitHubAkcije

Poslednji komentari

Još nema komentara.