Unit 42 部门发现包括谷歌、
其中一个关键问题存在于“actions / checkout”操作中,诸多窃取源代码,开源微软和 AWS 等公司在内,项目s泄无码将合法项目变成恶意软件。被曝甚至篡改源代码,露问该操作会将 GitHub tokens 保存在本地 .git 目录中(隐藏)。托管题
8 月 16 日消息,诸多
该部门在 GitHub 上共计发现了 14 个开源项目 tokens:
Firebase (Google)
OpenSearch Security (AWS)
Clair (Red Hat)
Active Directory System (Adsys) (Canonical)
JSON Schemas (Microsoft)
TypeScript Repos Automation,开源 TypeScript Bot Test Triggerer, Azure Draft (Microsoft)
CycloneDX SBOM (OWASP)
Stockfish
Libevent
Guardian for Apache Kafka (Aiven-Open)
Git Annex (Datalad)
Penrose
Deckhouse
Concrete-ML (Zama AI)
该部门已经向 GitHub 和相应的项目所有者报告了这一情况,
如果恶意行为者发现了这些 tokens,
Unit 42 部门表示,就会无意中暴露 .git 文件夹中的 GitHub tokens。
但如果开发者出于某种原因上传了完整的签出目录,很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作,auth tokens 的安全性完全由项目所有者负责。派拓网络(Palo Alto Networks)旗下安全部门 Unit 42 于 8 月 13 日发布报告,让整个项目面临数据被盗和篡改植入恶意代码等风险。默认设置、