GitHub Actions 遭利用,14个热门开源项目令牌泄露风险激增
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
攻击者通过GitHub Actions工具窃取了谷歌、微软、AWS和Red Hat等多个知名开源项目的GitHub身份验证令牌,可能导致未经授权的访问和恶意代码注入。Palo Alto Networks Unit 42敦促受影响的企业采取行动,但GitHub尚未解决问题。用户需要评估风险并采取措施防止泄露事件。
🎯
关键要点
- 攻击者通过GitHub Actions窃取多个知名开源项目的GitHub身份验证令牌。
- 窃取的令牌可能导致未经授权的访问和恶意代码注入。
- Palo Alto Networks Unit 42敦促受影响企业采取行动,但GitHub尚未解决问题。
- 用户需评估风险并采取措施防止泄露事件。
- 不安全的默认设置和用户错误配置可能导致GitHub令牌泄漏。
- actions/checkout操作的默认设置可能导致GitHub令牌暴露。
- CI/CD过程中生成的工件可能因错误上传而暴露敏感信息。
- 环境变量存储GitHub令牌的CI/CD管道存在风险。
- Unit 42发现了14个可能受到影响的大型开源项目,建议其采取补救措施。
- 建议GitHub用户避免在上传的工件中包含整个目录,并定期检查CI/CD管道配置。
❓
延伸问答
攻击者是如何窃取GitHub令牌的?
攻击者通过GitHub Actions工具在CI/CD工作流中窃取GitHub身份验证令牌。
窃取的GitHub令牌可能导致什么后果?
可能导致未经授权的访问私有存储库、窃取源代码或注入恶意代码。
Palo Alto Networks Unit 42对受影响企业有什么建议?
Unit 42建议受影响企业立即采取补救措施,并评估风险。
GitHub用户如何防止令牌泄露?
用户应避免在上传的工件中包含整个目录,定期检查CI/CD管道配置,并调整危险操作的默认设置。
哪些开源项目可能受到影响?
可能受到影响的项目包括Firebase、OpenSearch Security、克莱尔、JSON模式等共14个项目。
GitHub令牌的有效期是多久?
GitHub令牌在工作流作业持续期间保持有效,Actions_Runtime_Token的有效期通常为6小时。
➡️
