攻击事件概述
2025年9月2日,GitHub用户"Grommash9"向FastUUID项目提交了一个标记为"Github Actions Security"的工作流文件。该文件看似常规自动化脚本,实则为收集CI/CD(持续集成/持续交付)机密凭证并发送至外部服务器的恶意代码。FastUUID是一个用于高效生成和处理通用唯一标识符(UUID)的开源Python库。
攻击技术分析
9月5日,GitGuardian网络安全研究人员发现异常活动,确认FastUUID代码库已遭入侵。恶意工作流包含将机密凭证打包成HTTP POST请求并发送至45.139.104.115服务器的指令。攻击者窃取的数据包含项目PyPI(Python包索引)令牌,但调查显示入侵期间未发布恶意软件包。PyPI及时将项目设为只读模式防止进一步滥用,维护者随后删除了恶意提交。
攻击规模与影响
GitGuardian后续分析显示,数百个代码库被植入几乎相同的工作流文件。该攻击被命名为"GhostAction"供应链攻击。
根据报告:
- 窃取3325个机密凭证,包括DockerHub凭据、GitHub令牌和npm发布密钥
- 攻击者分析合法工作流文件识别在用凭证,并将这些凭证名称硬编码至恶意工作流
- 数据外传服务器始终指向"
plesk.page"域名(该域名于9月5日下午停止解析)
响应与补救措施
GitGuardian团队直接在被入侵代码库中创建问题通知开发者:
- 部分项目已禁用GitHub问题功能或彻底删除代码库
- 确认部分凭证已被滥用,攻击者尝试访问AWS环境和数据库服务
受影响项目涵盖Python、JavaScript、Rust和Go等多种编程语言,多家公司的完整SDK产品组合遭篡改。由于大量项目被入侵,被盗的npm和PyPI令牌仍可能被用于发布恶意版本。
后续防护
截至9月5日下午:
- GitGuardian已通知GitHub、npm和PyPI平台
- 至少9个npm和15个PyPI项目因令牌泄露仍存在风险(尚未确认恶意发布)
- GitGuardian已公布入侵指标(IoC),包括工作流文件名、提交信息和恶意服务器地址
GhostAction攻击仍在调查中,目前确认这是迄今为止规模最大的GitHub工作流入侵事件,影响数百个项目并暴露数千个机密凭证。
参考来源:
GhostAction Attack Steals 3,325 Secrets from GitHub Projects
https://hackread.com/ghostaction-attack-steals-github-projects-secrets/
电台讨论
