GhostAction kampány
A GitGuardian kutatói azonosították a GhostAction kampányt, ahol több mint 327 GitHub-felhasználót értek el a támadók és 817 különböző repository-ba injektáltak rosszindulatú GitHub Actions workflow-kat. Ezek a CI/CD folyamatok arra voltak tervezve, hogy először környezeti titkokat lopjanak el (például PyPI, npm, DockerHub tokeneket), majd HTTP POST kéréseken keresztül továbbítsák azokat egy külső irányított szerverre.
Támadás során a hamis workflow fájl „Add Github Actions Security workflow” címmel került feltöltésre egy FastUUID nevű projektbe, amely CI/CD automatizációs fájlként működött. A kód egyszerűen ellopta a PYPI_API_TOKEN-t és továbbította egy támadó által kezelt domainre. A támadók előzetesen azonosították a célprojektek titkainak elnevezéseit, és ezeket építették be a rosszindulatú workflow-kba, így minden esetben működő szkriptek kerültek be a target környezetekbe.
Összesen 3 325 bizalmas titok szivárgott ki a kampány során, melyek között DockerHub, GitHub, npm, PyPI tokenek, AWS kulcsok, adatbázis hozzáférési információk és Cloudflare API-tokenek is voltak
