The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях"  +/
Сообщение от opennews (?), 15-Мрт-25, 15:44 
Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториях, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62892

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –2 +/
Сообщение от нейм (?), 15-Мрт-25, 15:44 
> nikitastupin

наш слон базовичок дискредитирует американский гитхаб?

Ответить | Правка | Наверх | Cообщить модератору

8. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –4 +/
Сообщение от Аноним (8), 15-Мрт-25, 16:19 
Прошу прощения, уточните пожалуйста,  а “ваш” это чей будет? Мексика, Канада, Дания… Еврозоюз? Какая-то из стран восточной Европы, граждани которой имею претензии к 🇺🇸 ?
Ответить | Правка | Наверх | Cообщить модератору

10. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +5 +/
Сообщение от Анонем (?), 15-Мрт-25, 16:37 
> Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.

Мексика, да

Ответить | Правка | Наверх | Cообщить модератору

19. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (19), 15-Мрт-25, 19:08 
Китаец Ni Kita Stu Pin.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

24. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Похожий (?), 15-Мрт-25, 19:50 
На филиппинский похоже. Сравните, всемирно известный хит: Bakit Nga Ba Mahal Kita
Ответить | Правка | Наверх | Cообщить модератору

2. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +1 +/
Сообщение от нах. (?), 15-Мрт-25, 15:56 
Молодец, Никитос, надеюсь, товарищмаёр довольны и уже представили себя к госнаградам.

P.S. отдельно доставляет что "знающие гит" девляпсы без понятия как ты этого добился - так что можем повторить!

Ответить | Правка | Наверх | Cообщить модератору

4. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –1 +/
Сообщение от Аноним (8), 15-Мрт-25, 16:12 
А в гитхаб профиле у него звание, адрес места “службы” , герб и прапор страны?

> Штирлиц брёл по улицам тихого немецкого городка. "Ничто не выдавало в нём советского разведчика — разве что волочившийся сзади парашют да ушанка с красной звездой могли привлечь к нему внимание случайного прохожего"

Ответить | Правка | Наверх | Cообщить модератору

15. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от bonifatium (?), 15-Мрт-25, 17:17 
Никитос - просто автор дампилки памяти, которой воспользовался злоумышленник
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (16), 15-Мрт-25, 17:26 
А Никитоса к Статье 272
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

23. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (23), 15-Мрт-25, 19:44 
Никтос-то тут причём? Я о нём слышал как минимум с 2018 года, легитимный ресёрчер. Вернее не совсем: на Huawei он работал. Ну раз ему так КНР мила - вот пусть туда на ПМЖ и едет. И о соц. "кредитном рейтинге" пусть обеспокоиться не забудет.
Ответить | Правка | Наверх | Cообщить модератору

27. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (27), 15-Мрт-25, 20:52 
Вы видели Китайский Дэвушка? Прекрасен что фарфоровая кукла!
i.postimg.cc/rqfNMc6h/1sppnfy.jpg
i.postimg.cc/wqLNyYPY/1uy22sc.jpg
Ответить | Правка | Наверх | Cообщить модератору

3. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +1 +/
Сообщение от Tron is Whistling (?), 15-Мрт-25, 15:58 
Лол, опять пострадали только те, кто тянул в рот всё самое неизвестное.
Ответить | Правка | Наверх | Cообщить модератору

5. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +3 +/
Сообщение от freehck (ok), 15-Мрт-25, 16:13 
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий, а в его форк (при прямом обращении через основной репозиторий в GitHub коммиты из форков остаются видимыми).

O_O

Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"?

> Примечательно, что атакующий добился добавления вредоносного коммита почти во все git-тэги и релизы проекта changed-files, без отображения в git-логе коммитов в соответствующих ветках.

Снимаю шляпу. Талантливый парень.

Ответить | Правка | Наверх | Cообщить модератору

25. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Мимоним (?), 15-Мрт-25, 19:53 
> GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов.

отсюда https://www.opennet.ru/opennews/art.shtml?num=61605

Ответить | Правка | Наверх | Cообщить модератору

7. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +4 +/
Сообщение от Аноним (7), 15-Мрт-25, 16:15 
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий

То-есть мерзкософт с своими типа-ништяками - довел инфраструктуру до состояния когда даже не знает откуда им прилетело? И эти люди лезут учить других на тему supply chain с своими 2FA?

Ответить | Правка | Наверх | Cообщить модератору

9. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (8), 15-Мрт-25, 16:26 
> Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"?

да, это называется Open Sources, т.е. программное обеспечение с открытым исходным кодом, а гитхаб продемонстрировал беспрецедентную открытость!

Ответить | Правка | Наверх | Cообщить модератору

12. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –1 +/
Сообщение от 12yoexpert (ok), 15-Мрт-25, 16:50 
какому идиоту в принципе пришло в голову использовать js на сервере? электричество бесплатное?
Ответить | Правка | Наверх | Cообщить модератору

17. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (16), 15-Мрт-25, 17:33 
Когда создавался GitHub (тот ещё первозданный, настоящий) ещё не модно было.
Ответить | Правка | Наверх | Cообщить модератору

21. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –1 +/
Сообщение от Аноним (23), 15-Мрт-25, 19:21 
Пофиг, third party (не от самого гитхаба и не от себя, любимого) Github Actions обычно по тегам гвоздями прибивают (это если не делать  свой форк). Как раз от такого.
Ответить | Правка | Наверх | Cообщить модератору

26. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (26), 15-Мрт-25, 20:17 
Тэги перебиваются на раз-два, git push —tags —force
Ответить | Правка | Наверх | Cообщить модератору

22. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (23), 15-Мрт-25, 19:41 
>\{"value":"[^"]*","isSecret":true\}'

Молодцы, GitHub, все секреты промаркировали в JSON, чтобы их удобнее извлекать было.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру