GitHub Actions comprometidas: Como atacantes usam redirecionamento de tags para roubar credenciais do CI/CD
GitHub Actions comprometidas: Como atacantes usam redirecionamento de tags para roubar credenciais do CI/CD A recente campanha de ataque à cadeia de fornecimento no GitHub revela uma técnica sofisticada e preocupante, onde os atacantes manipularam repositórios populares para incluir código malicioso em workflows do GitHub Actions. Especificamente, o projeto actions-cool/issues-helper foi comprometido, com todas as tags existentes redirecionadas para um commit impostor que não faz parte do histórico normal da ação. 🛡️ O mecanismo utilizado é conhecido como "imposter commit", uma tática em que atacantes criam forks controlados por eles próprios e referenciam commits ou tags que parecem legítimos, mas contêm código malicioso. Isso permite que o ataque evite revisões padrão de Pull Requests e execute código arbitrário dentro do ambiente CI/CD. 💻 A análise feita pela StepSecurity mostra que esse commit impostor exfiltra credenciais sensíveis dos pipelines automatizados, e isso não se limita a um único repositório. Doze tags associadas à segunda ação, actions-cool/maintain-one-comment, também foram comprometidas com a mesma funcionalidade maliciosa. 🚨 O impacto é ampliado: qualquer workflow que utilize uma tag do projeto (em vez de um SHA completo) irá automaticamente buscar o código malicioso na próxima execução. Apenas os workflows fixados em commits SHA conhecidos e confiáveis permanecem protegidos. A Microsoft, proprietária do GitHub, desativou temporariamente acesso ao repositório por violação dos termos de serviço — embora ainda não sejam conhecidas as razões exatas dessa decisão. A presença do domínio de exfiltração t.m-kosche[.]com também conecta esse ataque à campanha Mini Shai-Hulud, que tem afetado pacotes npm do ecossistema @antv. 🔍 Segundo Philipp Burckhardt da Socket, a ligação entre os dois ataques é forte e provavelmente indica uma única operação coordenada. A sobreposição dos domínios de exfiltração sugere que o acesso inicial pode ter sido compartilhado ou gerido pela mesma equipe de atacantes. Este incidente reforça a importância de revisar cuidadosamente as dependências do CI/CD e adotar práticas rigorosas de validação de código, especialmente em ambientes automatizados. A falta de verificação de SHA completo pode ser um ponto fraco crítico para o ataque. #GithubActions #CICD #SupplyChainAttack #ImposterCommit #CredentialTheft #SecurityIncident #StepSecurity #Socket #MiniShaihulud #NpmCompromise Link: https://thehackernews.com/2026/05/github-actions-supply-chain-attack.html