Barracuda full logo

GitHub come vettore di attacco alla supply chain

Argomenti:
25 mar 2025
|
Tony Burgess

GitHub è una piattaforma inestimabile utilizzata dagli sviluppatori di app per gestire i flussi di lavoro, mantenere il controllo delle versioni, archiviare e condividere il codice, collaborare su progetti e altro ancora. Ma gli attacchi recenti che utilizzano azioni e artefatti GitHub compromessi sono un promemoria sobrio dell'importanza di praticare le migliori pratiche di sicurezza della catena di approvvigionamento mentre si utilizza qualsiasi codice di terze parti.

Un vettore irresistibile

Per sua stessa natura, GitHub è molto attraente per i criminali informatici come vettore per attacchi alla catena di fornitura del software. Se gli aggressori riescono a penetrare la sicurezza di GitHub e compromettere un pezzo di codice—un blocco di costruzione condiviso—che è comunemente usato da un gran numero di sviluppatori, possono ritrovarsi con accesso backdoor a centinaia o migliaia di reti con dati preziosi da estrarre.

L'azione compromessa influisce su 23.000

Oggi, mentre scrivo, il 19 marzo 2025, è stato scoperto un attacco importante. Come riportato in un avviso pubblicato dall'agenzia statunitense Cybersecurity & Infrastructure Security Agency (CISA):

Un popolare GitHub Action di terze parti, tj-actions/changed-files (tracciato come CVE-2025-30066), è stato compromesso. Questa GitHub Action è progettata per rilevare quali file sono cambiati in una pull request o commit. La compromissione della catena di approvvigionamento consente la divulgazione di informazioni segrete tra cui, ma non solo, chiavi di accesso valide, GitHub Personal Access Tokens (PATs), token npm e chiavi RSA private. Questo è stato corretto nella versione v46.0.1.

La GitHub Action compromessa era attiva in circa 23.000 diversi repository GitHub, il che significa che mentre era attiva, avrebbe potuto esporre segreti alla vista pubblica su vasta scala.

Una caratteristica inattesa dell'attacco è che il payload malevolo non esfiltra i dati rubati su un server esterno. Invece, li scarica semplicemente nel repository, dove chiunque abbia accesso può vederli.

Principali aziende colpite dal compromesso dell'artefatto

Ad agosto 2024, i ricercatori hanno scoperto un attacco in cui gli artefatti open-source sono stati "avvelenati", influenzando progetti di proprietà di Google, Microsoft, Amazon Web Services e molti altri. Compromettendo la pipeline di integrazione continua/distribuzione continua, potrebbe facilmente consentire agli aggressori di spingere codice malevolo in produzione o di accedere a segreti nel repository GitHub o altrove nella rete.

Fortunatamente, i casi identificati sono stati tutti mitigati rapidamente e non sembrava che fosse avvenuta alcuna ulteriore attività dannosa.

Questo articolo di Dark Reading di Elizabeth Montalbano fornisce una spiegazione tecnica approfondita dell'attacco.

Compromesso Colorama commette furto di dati

Nel aprile 2024, Matthew Russo ha riportato in questo blog un altro attacco alla supply chain che ha sfruttato GitHub. Utilizzando una combinazione di cookie del browser rubati, typosquatting e altro, i criminali sono riusciti a distribuire una copia manomessa di Colorama, un pacchetto di terze parti utilizzato da milioni di sviluppatori.

Risorse dannose sono riuscite a rubare i dati di più browser.

I dati includono informazioni di completamento automatico, cookie, carte di credito, credenziali di accesso e cronologia di navigazione. Questo può anche entrare in Discord, cercando token che può decrittare per ottenere l'accesso all'account della vittima e rubare portafogli di criptovalute, acquisire dati di Telegram ed esfiltrare file del computer. Cerca anche di rubare informazioni sensibili dai file di Instagram utilizzando un token di sessione e può registrare i tasti premuti delle vittime, esponendo informazioni come password, messaggi personali e dettagli finanziari.

Sicurezza della supply chain

GitHub stesso offre un solido insieme di risorse di sicurezza.

Questo articolo fornisce indicazioni specifiche sulle migliori pratiche di sicurezza, inclusi l'uso di azioni di terze parti e flussi di lavoro in modo sicuro. Queste includono fissare le azioni a un SHA di commit completo, controllare il codice sorgente dell'azione, e altro ancora. 

Puoi trovare l'elenco completo delle guide alla sicurezza di GitHub qui.

Buone regole generali per la sicurezza della supply chain del software includono:

  • Verificare le dipendenze e le risorse prima di interagire con esse

  • Monitora l'attività di rete sospetta

  • Mantenere un'adeguata posizione di sicurezza

Una piattaforma WAAP (protezione delle applicazioni web e delle API) forte, come Barracuda Application Protection, può aiutare rilevando e correggendo le vulnerabilità durante e dopo lo sviluppo e utilizzando Active Threat Intelligence per rispondere rapidamente a nuove vulnerabilità e exploit.

 

Scopri di più sulla protezione delle applicazioni Barracuda

 

 

Tony Burgess

Tony Burgess è un veterano di vent'anni dell'industria della sicurezza informatica ed è Senior Copywriter per i contenuti e il marketing clienti di Barracuda. In questo ruolo, ricerca argomenti tecnici complessi e traduce i risultati in prosa chiara, utile e leggibile.

Puoi connetterti con Tony su LinkedIn qui.

Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.