5 сентября 2025 года специалисты GitGuardian обнаружили масштабную кампанию GhostAction, в рамках которой злоумышленники скомпрометировали рабочие процессы (workflows) GitHub для хищения критически важных данных. Атака затронула 327 пользователей GitHub в 817 репозиториях, в результате чего было экспфильтрировано 3325 секретов, включая токены PyPI, npm и DockerHub.
Описание
Инцидент начался с компрометации репозитория проекта FastUUID, где злоумышленники внедрили вредоносный workflow, маскирующийся под легитимный процесс безопасности. Внедренный скрипт отправлял конфиденциальные данные на контролируемый атакующими сервер через HTTP POST-запросы. Анализ показал, что атака была тщательно спланирована: злоумышленники предварительно изучали легитимные workflow-файлы для определения имен секретов, которые затем жестко прописывали в своих вредоносных скриптах.
Хотя первоначально инцидент был обнаружен в одном репозитории, последующее расследование выявило гораздо более широкий масштаб кампании. Атакующие использовали идентичный подход для сотен репозиториев, нацеливаясь на различные типы секретов - от облачных учетных данных до токенов доступа к системам управления пакетами. Эксперты подчеркивают, что это классическая атака на цепочку поставок, где компрометация одного компонента может привести к каскадному воздействию на множество зависимых проектов.
Важным аспектом кампании стало использование единой конечной точки для экспфильтрации данных - hxxps://bold-dhawan.45-139-104-115.plesk.page. Этот домен прекратил разрешение 5 сентября в 16:15, что свидетельствует о возможном сворачивании операции после обнаружения.
Команда GitGuardian оперативно уведомила затронутых пользователей, создав issue в компрометированных репозиториях. Из 817 затронутых репозиториев 100 уже самостоятельно отменили вредоносные изменения до получения уведомления. Для 573 из оставшихся проектов были созданы предупреждения, в то время как остальные репозитории либо были удалены, либо имели отключенную систему issue.
Особую озабоченность вызывает факт активного использования украденных учетных данных. По данным исследователей, злоумышленники уже применяли скомпрометированные ключи доступа AWS и учетные данные баз данных. Наибольшие риски связаны с токенами NPM, которые представляют ongoing угрозу для цепочки поставок.
В рамках ответных мер 5 сентября в 15:50 было направлено уведомление командам безопасности GitHub, NPM и PyPI. Мониторинг показал, что 9 пакетов NPM и 15 пакетов PyPI находятся в зоне высокого риска потенциальной компрометации в ближайшие часы и дни.
Эксперты отмечают, что несмотря на быстрое реагирование сообщества, инцидент демонстрирует необходимость усиления мер безопасности для рабочих процессов CI/CD. Рекомендуется регулярно аудировать workflow-файлы, ограничивать права секретов и реализовывать мониторинг подозрительной активности в системах автоматизации.
Кампанья GhostAction стала одним из крупнейших инцидентов с компрометацией секретов через GitHub Actions, подчеркивая растущую сложность атак на цепочки поставок и важность proactive подхода к кибербезопасности в разработке программного обеспечения.
Индикаторы компрометации
IPv4
- 45.139.104.115
URLs
- https://bold-dhawan.45-139-104-115.plesk.page
