Post #4248

Удар ниже merged-а Десятки тысяч репозиториев GitHub пострадали из-за компрометации официального CI/CD-шаблона GitHub Actions. Популярный процесс tj-actions/changed-files, используемый в более чем 23 тыс. репозиториев, 14 марта был заражён вредоносным кодом. Хакер не только модифицировали кодовую базу, но и обновили все версионные ярлыки. Вредонос маскировался под функцию updateFeatures, которая запускала скрипт для поиска в памяти Runner Worker секретов, например токены AWS, Azure, GCP, GitHub PAT, NPM, учётные данные БД, RSA-ключи. Найденное шифровалось двойным base64 и записывалось в журналы сборки. Хотя GitHub восстановил changed-files через сутки, для всех, кто использовал процесс во время атаки, рекомендуется проверить журналы за 14-15 марта, сменить все секреты и очистить публичные логи. CVE затрагивает любые репозитории с этим процессом, а наибольшему риску подвержены проекты с публичными журналами. Вот вам и DevOps — одна строчка кода в CI/CD и ваши секреты уже не секреты 🥲 НеКасперский