GhostAction攻击窃取GitHub项目中3325个机密凭证
内容提要
2025年9月2日,GitHub用户提交恶意工作流文件,窃取FastUUID项目的机密凭证,事件被称为“GhostAction”,影响817个代码库,窃取3325个凭证。GitGuardian及时通知开发者并监控可疑活动,事件仍在调查中。
关键要点
-
2025年9月2日,GitHub用户提交恶意工作流文件,窃取FastUUID项目的机密凭证,事件被称为'GhostAction'。
-
攻击者提交的工作流文件看似正常,实则为收集CI/CD机密凭证并发送至外部服务器的恶意代码。
-
GitGuardian于9月5日发现异常活动,确认FastUUID代码库已遭入侵,恶意工作流包含将机密凭证发送至外部服务器的指令。
-
攻击影响817个代码库,窃取3325个机密凭证,包括DockerHub凭据、GitHub令牌和npm发布密钥。
-
攻击者分析合法工作流文件,识别在用凭证并将其硬编码至恶意工作流,数据外传服务器指向特定域名。
-
GitGuardian团队成功提醒573个项目维护者,部分项目已禁用GitHub问题功能或删除代码库。
-
受影响项目涵盖多种编程语言,部分凭证已被滥用,攻击者尝试访问AWS环境和数据库服务。
-
截至9月5日,GitGuardian已通知各平台,监控可疑软件包发布,部分项目因令牌泄露仍存在风险。
-
GhostAction攻击仍在调查中,确认这是迄今为止规模最大的GitHub工作流入侵事件。
延伸问答
GhostAction攻击的主要影响是什么?
GhostAction攻击影响了817个代码库,窃取了3325个机密凭证,包括DockerHub凭据、GitHub令牌和npm发布密钥。
攻击者是如何窃取机密凭证的?
攻击者提交了看似正常的工作流文件,实则包含恶意代码,收集CI/CD机密凭证并发送至外部服务器。
GitGuardian是如何应对GhostAction攻击的?
GitGuardian及时发现异常活动,成功提醒573个项目维护者,并监控可疑软件包发布。
GhostAction攻击的规模有多大?
这是迄今为止规模最大的GitHub工作流入侵事件,影响数百个项目并暴露数千个机密凭证。
受影响的项目使用了哪些编程语言?
受影响的项目涵盖Python、JavaScript、Rust和Go等多种编程语言。
攻击者如何识别并利用有效凭证?
攻击者分析合法工作流文件,识别在用凭证,并将其硬编码至恶意工作流中。
