35 заражённых тегов за четыре часа. Атака на GitHub Action от Checkmarx затронула десятки проектов по всему миру
NewsMakerИнструмент для защиты инфраструктуры внезапно сам стал точкой входа.
Атака на цепочку поставок снова ударила по популярным инструментам разработки. На этот раз злоумышленники внедрили вредоносный код в GitHub Action проекта KICS от Checkmarx — решение, которое используют для проверки инфраструктуры как кода. Инцидент развивался стремительно и затронул десятки версий, поэтому последствия могли оказаться шире, чем сначала казалось.
23 марта с 12:58 до 16:50 по UTC атакующие подменили 35 тегов в репозитории checkmarx/kics-github-action. Любая сборка, которая ссылалась на версии через теги, получала вредоносный скрипт. После сообщения от одного из пользователей репозиторий временно отключили, а позже вернули в работу с заявлением об устранении проблемы.
За атакой, по данным специалистов Wiz, стоит группа TeamPCP — та же команда, которая недавно провела схожую операцию против Trivy . Почерк совпадает: использован тот же RSA-ключ и похожая схема распространения через подмену тегов.
Вредоносный код добавили в файл setup.sh и изменили конфигурацию action.yaml, чтобы сценарий запускался автоматически при подготовке окружения. После запуска программа собирала чувствительные данные: переменные среды, SSH-ключи, токены облачных сервисов и Kubernetes. В средах GitHub Actions дополнительно извлекались секреты из памяти процессов.
Атака на цепочку поставок снова ударила по популярным инструментам разработки. На этот раз злоумышленники внедрили вредоносный код в GitHub Action проекта KICS от Checkmarx — решение, которое используют для проверки инфраструктуры как кода. Инцидент развивался стремительно и затронул десятки версий, поэтому последствия могли оказаться шире, чем сначала казалось.
23 марта с 12:58 до 16:50 по UTC атакующие подменили 35 тегов в репозитории checkmarx/kics-github-action. Любая сборка, которая ссылалась на версии через теги, получала вредоносный скрипт. После сообщения от одного из пользователей репозиторий временно отключили, а позже вернули в работу с заявлением об устранении проблемы.
За атакой, по данным специалистов Wiz, стоит группа TeamPCP — та же команда, которая недавно провела схожую операцию против Trivy . Почерк совпадает: использован тот же RSA-ключ и похожая схема распространения через подмену тегов.
Вредоносный код добавили в файл setup.sh и изменили конфигурацию action.yaml, чтобы сценарий запускался автоматически при подготовке окружения. После запуска программа собирала чувствительные данные: переменные среды, SSH-ключи, токены облачных сервисов и Kubernetes. В средах GitHub Actions дополнительно извлекались секреты из памяти процессов.