GitHub-Actions

StepSecurity publie une alerte détaillée sur la compromission du package Nx sur npm fin août 2025, confirmée par l’avis GHSA-cxm3-wv7p-598c, avec un vecteur d’attaque lié à des workflows GitHub vulnérables et une exfiltration de secrets à grande échelle. 🚨 Entre 22:32 UTC le 26/08 et ~03:52 UTC le 27/08, huit versions malveillantes de Nx ont été publiées puis retirées (~5h20 d’attaque). Le malware exécuté en post-install (telemetry.js) a visé des systèmes non-Windows et a exfiltré des secrets (clés SSH, tokens npm/GitHub, .gitconfig, .env, portefeuilles crypto). Fait inédit, il a « instrumenté » des CLIs d’IA (Claude, Gemini, Q) avec des drapeaux permissifs pour lister des chemins sensibles. L’exfiltration publiait un dépôt GitHub public s1ngularity-repository contenant results.b64 (triple base64) via des tokens GitHub volés. Des mécanismes de persistance/sabotage ajoutaient sudo shutdown -h 0 dans ~/.bashrc et ~/.zshrc. ...

L’article publié par StepSecurity fournit un guide complet pour les équipes de sécurité d’entreprise sur les meilleures pratiques pour sécuriser les secrets GitHub Actions dans les workflows CI/CD. Le guide met l’accent sur des mesures de sécurité critiques telles que la rotation des secrets, l’accès le moins privilégié, les contrôles basés sur l’environnement et la gouvernance organisationnelle. Parmi les recommandations clés figurent la restriction des secrets organisationnels à des dépôts spécifiques, la mise en place de révisions obligatoires pour les secrets de production, l’évitement des secrets dans les journaux, et l’établissement d’une gestion appropriée du cycle de vie des secrets pour prévenir l’exposition des identifiants et l’accès non autorisé. ...