Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle.
L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant.
Portée et impact 📈: la campagne a touché 327 utilisateurs GitHub et 817 dépôts, permettant l’exfiltration de 3 325 secrets. Les identifiants volés couvrent plusieurs écosystèmes: DockerHub, GitHub PATs, npm tokens, PyPI API tokens et clés d’accès AWS.
Technique d’exfiltration 🕵️♂️: les workflows étaient personnalisés selon les noms de secrets énumérés dans chaque dépôt, optimisant la collecte des informations. Les données étaient envoyées vers l’endpoint attaquant: bold-dhawan.45-139-104-115.plesk.page.
IOCs 🔎
- Domaine/endpoint d’exfiltration: bold-dhawan.45-139-104-115.plesk.page
TTPs 🧰
- Injection de workflows GitHub Actions malveillants
- Déclencheurs: push et workflow_dispatch
- Exfiltration HTTP via curl vers un domaine contrôlé par l’attaquant
- Énumération et ciblage de noms de secrets présents dans les dépôts
- Vol d’identifiants multi-écosystèmes (DockerHub, GitHub, npm, PyPI, AWS)
Type d’article: publication de recherche visant à documenter une campagne d’attaque supply chain sur GitHub Actions et son impact.
🔗 Source originale : https://www.stepsecurity.io/blog/ghostaction-campaign-over-3-000-secrets-stolen-through-malicious-github-workflows