Три минуты в вашей системе – и все ключи доступа улетают на чужой сервер. Злоумышленники нашли новый способ взлома через GitHub Actions
NewsMakerПопулярный инструмент безопасности превратился в бэкдор из-за одной маленькой правки в ярлыке.
Незаметная правка в одном ярлыке превратила популярный инструмент проверки безопасности в бэкдор . Злоумышленник взломал официальное действие GitHub (GitHub Action) Xygeni и внедрил полноценную оболочку удаленного управления, которая могла выполнять любые команды на серверах сборки. Специалисты StepSecurity подробно описали инцидент, который произошел 3 марта 2026 года.
Неизвестный получил доступ к учетным данным сопровождающих проекта Xygeni и внедрил вредоносный код в репозиторий xygeni/xygeni-action – официальное действие для GitHub, которым пользуются более 137 репозиториев. Главная проблема заключалась в том, что злоумышленник не изменял рабочие файлы пользователей. Вместо этого злоумышленник тихо перенаправил тег версии v5 на вредоносный коммит. Любой проект, где в рабочем процессе указано
Вредоносный код маскировался под шаг «сбор телеметрии версии сканера». Скрипт добавили в файл
После запуска действие регистрировалось на сервере управления по адресу 91.214.78.178, передавало имя узла, имя пользователя и версию операционной системы, а затем каждые несколько секунд проверяло наличие команд. Полученные команды выполнялись через
Незаметная правка в одном ярлыке превратила популярный инструмент проверки безопасности в бэкдор . Злоумышленник взломал официальное действие GitHub (GitHub Action) Xygeni и внедрил полноценную оболочку удаленного управления, которая могла выполнять любые команды на серверах сборки. Специалисты StepSecurity подробно описали инцидент, который произошел 3 марта 2026 года.
Неизвестный получил доступ к учетным данным сопровождающих проекта Xygeni и внедрил вредоносный код в репозиторий xygeni/xygeni-action – официальное действие для GitHub, которым пользуются более 137 репозиториев. Главная проблема заключалась в том, что злоумышленник не изменял рабочие файлы пользователей. Вместо этого злоумышленник тихо перенаправил тег версии v5 на вредоносный коммит. Любой проект, где в рабочем процессе указано
xygeni/xygeni-action@v5, начал запускать внедренный бэкдор. Вредоносный код маскировался под шаг «сбор телеметрии версии сканера». Скрипт добавили в файл
action.yml между установкой сканера и основной проверкой. На первый взгляд шаг выглядел безобидно: выводил информацию о версии инструмента. На деле код запускал скрытую оболочку удаленного управления . После запуска действие регистрировалось на сервере управления по адресу 91.214.78.178, передавало имя узла, имя пользователя и версию операционной системы, а затем каждые несколько секунд проверяло наличие команд. Полученные команды выполнялись через
eval, а результат сжимался и отправлялся обратно на сервер. Скрипт работал в фоне, поэтому основной процесс проверки безопасности продолжал выполняться как обычно и не вызывал подозрений.