GitHub como vetor de ataque à cadeia de abastecimento

O GitHub é uma plataforma inestimável utilizada por desenvolvedores de aplicações para gerir fluxos de trabalho, manter o controlo de versões, armazenar e partilhar código, colaborar em projetos e muito mais. Mas ataques recentes usando ações e artefactos do GitHub comprometidos são um lembrete sóbrio da importância de praticar as melhores práticas de segurança da cadeia de fornecimento ao utilizar qualquer código de terceiros.

Um vetor irresistível

Por sua própria natureza, o GitHub é muito atraente para os cibercriminosos como um vetor para ataques à cadeia de fornecimento de software. Se os atacantes conseguirem penetrar na segurança do GitHub e comprometer um pedaço de código—um bloco de construção partilhado—que é comumente utilizado por um grande número de programadores, podem conseguir acesso indireto a centenas ou milhares de redes com dados valiosos para extrair.

Ação comprometida afeta 23,000

Hoje, enquanto escrevo, em 19 de março de 2025, foi descoberto um ataque importante. Conforme relatado num alerta publicado pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA):

Uma popular GitHub Action de terceiros, tj-actions/changed-files (rastreada como CVE-2025-30066), foi comprometida. Esta GitHub Action é projetada para detectar quais ficheiros foram alterados num pull request ou commit. O comprometimento da cadeia de suprimentos permite a divulgação de informações de segredos, incluindo, mas não se limitando a, chaves de acesso válidas, Tokens de Acesso Pessoal do GitHub (PATs), tokens npm e chaves RSA privadas. Isto foi corrigido na v46.0.1.

A ação do GitHub comprometida estava ativa em cerca de 23.000 repositórios diferentes do GitHub, o que significa que, enquanto estava ativa, poderia ter exposto segredos ao público em grande escala.

Uma característica inesperada do ataque é que a carga maliciosa não exfiltra dados roubados para um servidor externo. Em vez disso, simplesmente descarrega-os no repositório, onde qualquer pessoa com acesso pode vê-los.

Principais empresas afetadas pelo comprometimento de artefatos

Em agosto de 2024, investigadores descobriram um ataque em que artefatos de código aberto foram "envenenados", afetando projetos pertencentes ao Google, Microsoft, Amazon Web Services, entre muitos outros. Ao comprometer a pipeline de integração contínua/desdobramento contínuo, poderia facilmente permitir que atacantes enviassem código malicioso para produção, ou acedesse a segredos no repositório GitHub ou em outro lugar na rede.

Felizmente, os casos identificados foram todos mitigados rapidamente, e não parecia que qualquer atividade maliciosa adicional tivesse ocorrido.

Este artigo da Dark Reading de Elizabeth Montalbano fornece uma explicação técnica detalhada do ataque.

Roubo de dados cometido por Colorama comprometida

Em abril de 2024, Matthew Russo relatou em este blog sobre mais um ataque à cadeia de abastecimento que explorou o GitHub. Utilizando uma combinação de cookies de navegador roubados, typosquatting e mais, os criminosos conseguiram implantar uma cópia adulterada do Colorama, um pacote de terceiros utilizado por milhões de desenvolvedores.

Recursos maliciosos conseguiram roubar dados de vários navegadores.

Os dados incluem informações de preenchimento automático, cookies, cartões de crédito, credenciais de login e histórico de navegação. Isto também pode infiltrar-se no Discord, procurando tokens que consegue decifrar para aceder à conta da vítima e roubar carteiras de criptomoedas, apanhar dados do Telegram e exfiltrar ficheiros do computador. Também tenta roubar informações sensíveis de ficheiros do Instagram usando um token de sessão e pode registar as teclas pressionadas pelas vítimas, expondo informações como palavras-passe, mensagens pessoais e detalhes financeiros.

Segurança da cadeia de abastecimento

O próprio GitHub fornece um conjunto robusto de recursos de segurança.

Este artigo fornece orientações específicas sobre as melhores práticas de segurança, incluindo o uso seguro de ações de terceiros e fluxos de trabalho. Estas incluem fixar ações a um SHA de commit completo, auditar o código-fonte da ação, entre outros.

Pode encontrar a lista completa de guias de segurança do GitHub aqui.

Boas regras gerais para a segurança da cadeia de abastecimento de software incluem:

• Verifique dependências e recursos antes de interagir com eles

• Monitorizar a atividade de rede suspeita

• Manter uma postura de segurança adequada

Uma plataforma robusta de proteção de aplicações web e APIs (WAAP), como Barracuda Application Protection, pode ajudar ao detetar e remediar vulnerabilidades durante e após o desenvolvimento e ao utilizar Active Threat Intelligence para responder rapidamente a novas vulnerabilidades e exploits.