GitHub Actions遭利用，14个热门开源项目令牌泄露风险激增

文章预览

近日，有攻击者通过 CI/CD 工作流中的 GitHub Actions 工具窃取了谷歌、微软、AWS 和 Red Hat 等多个知名开源项目的 GitHub 身份验证令牌。 窃取这些令牌的攻击者可在未经授权的情况下访问私有存储库、窃取源代码或向项目中注入恶意代码。 Palo Alto Networks  Unit 42 发现这个情况后，立刻敦促所有受到影响的企业立刻采取行动。但由于 GitHub 暂未对此有所行动，因此根本问题仍未解决。 鉴于这种情况，GitHub 用户需要了解风险，评估自己所面临的风险，并采取措施防止未来发生泄密事件。 GitHub 操作生成的工件，来源：GitHub Unit 42 GitHub 令牌泄露 Unit 42 的报告强调了一系列因素，包括不安全的默认设置、用户错误配置和不充分的安全检查，这些都可能导致 GitHub 令牌泄漏，他们称之为 「ArtiPACKED」攻击。 第一个风险点是「actions/checkout」操作，该操作通常用于 Gi ………………………………