Ci-Cd-Security

Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant. ...

Selon Socket, le système de build Nx a subi une attaque de la chaîne d’approvisionnement exploitant une vulnérabilité dans un workflow GitHub Actions, compromettant un écosystème totalisant plus de 4,6 millions de téléchargements hebdomadaires. Les attaquants ont publié des packages malveillants qui ont récolté des milliers d’identifiants, mettant en lumière des lacunes critiques de sécurité CI/CD et le risque des branches obsolètes comme vecteurs persistants. L’attaque s’est appuyée sur une injection bash via un workflow déclenché par pull_request_target avec des permissions élevées. Des titres de PR forgés comme $(echo “malicious code”) ont permis une exécution de commandes arbitraires. Les acteurs ont ciblé des branches anciennes où le workflow vulnérable subsistait, même après sa suppression de la branche master. ...