GitHub Actions 工件在热门项目中被发现泄露身份验证令牌

主要观点总结

本文介绍了近期包括谷歌、微软、AWS和Red Hat等在内的多个知名开源项目被发现通过GitHub Actions工件泄露GitHub身份验证令牌的问题。攻击者可利用泄露的令牌未经授权访问私有存储库、窃取源代码或注入恶意代码。Palo Alto Networks的Unit 42率先发现了这一问题并报告了相关风险点。

关键观点总结

关键观点1: GitHub Actions工件泄露身份验证令牌的问题及其潜在风险。

机密信息通过GitHub Actions构件泄露，攻击者可利用泄露的令牌进行恶意活动。

关键观点2: Unit 42报告的关键风险点包括不安全的默认设置和用户配置错误。

包括“actions/checkout”操作和CI/CD管道使用环境变量存储GitHub令牌等情况都可能造成令牌泄露。

关键观点3: GitHub用户需要采取措施防止令牌泄露。

建议GitHub用户避免在已上传的工件中包含整个目录，清理日志，定期检查CI/CD管道配置，并调整危险操作的默认设置。

文章预览

近期，包括谷歌、微软、AWS 和 Red Hat 在内的多个知名开源项目被发现在 CI/CD 工作流中通过 GitHub Actions 工件泄露 GitHub 身份验证令牌。窃取这些令牌的攻击者可以未经授权访问私有存储库、窃取源代码或将恶意代码注入项目。 Palo Alto Networks 的 Unit 42 率先发现了这一问题，促使热门存储库的所有者采取行动，因为机密信息通过 GitHub Actions 构件泄露。然而，由于 GitHub 决定不解决这一风险，而是将保护构件的责任推给用户，因此根本问题仍未得到解决。 鉴于这种情况，GitHub 用户需要了解风险，评估其暴露情况，并采取措施防止将来发生泄露。 GitHub Actions 生成的工件 泄露 GitHub 令牌 Unit 42 的报告强调了一系列因素，包括不安全的默认设置、用户配置错误和安全检查不足，这些因素可能导致 GitHub 令牌泄露，即所谓的“ArtiPACKED”攻击。 第一个风险点是 ………………………………