< img src = "https://regmedia.co.uk/2024/01/12/github_shutterstock.jpg"/> < p > Исследователи безопасности, которые исследователи безопасности думают, что они нашли основную причину атаки цепочки поставок GitHub, которая развернулась на выходных, и они говорят, что отдельная атака может быть виноват.
< h3 class = "crosshead" > Google Cloud to Inhale Wiz < P > Спустя всего год после того, как Alphabet пытается купить магазин безопасности для заявленного 23 миллиарда долларов, Google Cloud заявляет, что подписал окончательное соглашение о приобретении Wiz, Inc в сделке с всеобъемлющей транзакцией для прохладной 32 миллиарда долларов.
< P > Запуск облачной безопасности станет частью Google Cloud, причем технический гигант заявит, что сделка «ускорит две большие и растущие тенденции в эпоху AI: улучшенная облачная безопасность и возможность использовать несколько облаков». < P >Предыдущие переговоры о мега-неисправностях начались положительно, но сломались после того, как руководство Wiz вызвало обеспокоенность по поводу потенциальных нормативных препятствий.< p > Сделка будет одним из крупнейших в отрасли в этом году, если она пройдет.
< P > Инженер-программист Тони Джек, автор TJ-Actions/Medice Files-скомпрометированное действие GitHub, которое недавно было замечено, протекает секреты CI/CD более чем 23 000 проектов-уже заявил, что украденный токен личного доступа (PAT) использовался для проведения атаки. Однако, как был получен этот токен, не было понято.< P > Но в понедельник Wiz заявил, что он последовал за лидерством исследователя Аднана Хана, заявив, что 11 марта обзор/действие по борьбе с действием было скомпрометировано и может быть основной причиной украденного похлопа в TJ-действиях.
< p > для резюме и суммирования:< ul > < li > < P > TJ-Actions/Medie Filles-это действие GitHub, которое обнаруживает изменения файла в проектах с открытым исходным кодом
< li > < P > Недавно стало очевидным для некоторых из его 23 000 с лишним пользователей, что их секреты протекают в публичных журналах
< li > < p > Исследователи обнаружили, что действие было скомпрометировано в какой -то момент до 14 марта. В репо вводили полезную нагрузку, что привело к тому, что Ci/CD -секреты, такие как клавиши доступа AWS
< li > < P > Поскольку TJ-Actions/Mened Files были скомпрометированы, по расширению, так и TJ-Actions/Eslint-изменяемые штуки. Это действие запускает Eslint, чтобы проверить запросы на привлечение кода проблемы. Важно отметить, что он также работает от ReviewDog/Setup
< li > < p > TJ-Actions/Изменные ошибки запускают TJ-Actions/Eslint-изменяемые штуки, которые, в свою очередь, запускают ReviewDog/Action Setup, используя PAT
< li > < P >Поскольку было обнаружено, что reviewdog/action setup был скомпрометирован перед TJ-действиями, исследователи подозревают, что эта атака обзора использовалась для получения доступа к TJ-действиям, которая имеет гораздо большую пользовательскую базу
< p > Аналогично результатам случая TJ-Actions/Feels Filles, исследователи обнаружили, что вредоносный код, введенный в ReviewDog/Dection Setup, что заставило память CI-бегуна протекать секреты в журналы.
Эти секреты, вероятно, содержали PAT для TJ-действий/измененных ошибок, позволяя злоумышленникам поставить под угрозу гораздо большую репо.< P > Рами Маккарти, основной исследователь безопасности в Wiz, заявил в сообщении в блоге, что команда в настоящее время считает, что две атаки были преднамеренно прикованы в стремлении к компромиссу конкретной цели высокой ценности.
< P >Он добавил, что, поскольку только одна версия ActionDog Action была введена вредоносным кодом во время двухчасового окна 11 марта, и тот факт, что репо вернулся к бескомпромиссенному коммитию вскоре после этого, вполне вероятно, что злоумышленник вернул сами, чтобы скрыть атаку. Он предполагает, что они использовали только атаку ReviewDog для узкой цели (кража TJ-действий PAT) и старались оставаться как можно более скрытными. < P > По сравнению с 255 пользователями ReviewDog вряд ли является царапиной на TJ-Actions ’23 000 с лишним. Таким образом, поверхность атаки этой первоначальной атаки цепочки поставок намного меньше, несмотря на то, что приводит к гораздо большему.< p > Увы, Маккарти сказал, что те, кто использует ReviewDog, все еще должны проверить любые секреты, которые могли быть обнажены, и повернуть их соответственно. Если вы использовали хеш-фирменную версию действия или тег, отличную от V1, не о чем беспокоиться.
< p > Исследователи все еще работают над пониманием того, как исходный компромисс в ReviewDog разыгрывается.
< P > McCarthy сказал: «Мы можем сказать, что злоумышленник получил достаточный доступ к обновлению тега V1 до злонамеренного кода, который они поместили на вилку репозитория. Организация ReviewDog Github имеет относительно большую базу участников и, по -видимому, активизируется, добавляется вклад в автоматизированный злонамеренно. «
< p > Его рекомендации были аналогичны тем, которые были сделаны в ответ на компромисс TJ-Actions: прекратите использовать действие и замените его безопасной альтернативой. Удалите все ссылки на действие во всех ветвях репо. Поверните любые просочившиеся секреты. ®
