Threats
Um ataque à supply chain, baseado em fluxos de trabalho maliciosos no GitHub Actions, comprometeu centenas de repositórios e expôs milhares de credenciais sensíveis
08/09/2025
|
A GitGuardian revelou ter identificado uma campanha de grande escala que explora fluxos de trabalho maliciosos no GitHub Actions. A operação, denominada GhostAction, afetou pelo menos 327 utilizadores e 817 repositórios, o que resultou na exposição de mais de 3.300 dados confidenciais. O caso foi detetado no início de setembro, quando a GitGuardian percebeu que a conta GitHub do responsável pelo projeto FastUUID tinha sido comprometida. Os atacantes injetaram nesse repositório um ficheiro de fluxo de trabalho concebido para recolher credenciais e transmiti-las a um servidor controlado pelo atacante. Os fluxos de trabalho do GitHub Actions são ferramentas utilizadas para automatizar tarefas de desenvolvimento, que substituem procedimentos manuais. Neste ataque, esses fluxos de trabalho foram adulterados para recolher informações sensíveis, incluindo tokens e credenciais de vários serviços. No exemplo concreto do FastUUID, o invasor obteve acesso a um token PyPI utilizado para a publicação de pacotes. Apesar de o ficheiro malicioso ter sido rapidamente identificado e revertido, a investigação da GitGuardian concluiu que se trata apenas de uma parte de uma operação mais abrangente. Entre os dados comprometidos encontram-se credenciais do DockerHub, tokens de autenticação do GitHub e NPM, bem como chaves associadas a serviços como AWS, Confluence e Sonar. Segundo a GitGuardian, os atacantes já exploraram ativamente algumas destas chaves de acesso, incluindo chaves de acesso à cloud e credenciais de bases de dados. A análise revelou ainda que várias empresas viram os seus portfólios completos de SDK comprometidos, com fluxos de trabalho maliciosos a afetas simultaneamente repositórios em linguagens como Python, Rust, JavaScript e Go. Este cenário agrava o impacto do ataque e aumento os riscos para a supply chain de software. Muitos dos repositórios afetados já reverteram as alterações maliciosas, enquanto outros foram notificados pela GitGuardian, que também alertou as equipas de segurança do GitHub, PyPI e NPM. Está em curso uma monitorização contínua dos registos de pacotes para impedir a publicação de versões adulteradas. De acordo com a empresa, nove pacotes NPM e quinze PyPI permanecem em risco de ser comprometidos a curto prazo. Apesar da gravidade da GhostAction, a GitGuardian esclarece que não existem indícios de ligação com o recente ataque conhecido como S1ngularity. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
