Tornar al blog
19 de maig del 20265 min de lectura

Atac a la cadena de subministrament a GitHub Actions: protegint els pipelines CI/CD

Atac a la cadena de subministrament a GitHub Actions: un recordatori urgent de seguretat CI/CD

Mitjans com The Hacker News han recollit aquest incident; a continuació resumim la mecànica coneguda públicament i les implicacions per a equips DevSecOps.

En un panorama d’amenaces en evolució constant, els atacs a la cadena de subministrament de programari continuen sent una prioritat. Recentment, un incident rellevant a GitHub Actions ha posat de manifest la vulnerabilitat dels entorns d’integració i desplegament continus (CI/CD) si no es protegeixen adequadament. Aquest atac, vinculat a la manipulació d’etiquetes (tags) populars de GitHub Actions per redirigir cap a un «commit impostor», recorda la necessitat d’una postura de seguretat sòlida a tota la infraestructura DevSecOps.

Què va passar exactament? La mecànica de l’atac

L’atac es va centrar en l’acció popular actions-cool/issues-helper. Els atacants van aconseguir redirigir totes les etiquetes existents d’aquest repositori cap a un «commit impostor». Aquest commit maliciós no formava part de l’historial de commits original i de confiança del projecte. Residia en un fork controlat per l’adversari, cosa que permetia injectar codi sense passar pels processos habituals de revisió de pull request (PR).

Un cop executat dins d’un executor de GitHub Actions, el codi maliciós feia el següent:

  • Descàrrega del runtime JavaScript Bun: indica la complexitat i la capacitat d’execució de scripts del payload.
  • Extracció de credencials: el codi llegia la memòria del procés Runner.Worker per sostreure credencials sensibles de l’entorn CI/CD.
  • Exfiltració de dades: les credencials robades es transmetien cap a un domini controlat pels atacants (t.m-kosche[.]com) mitjançant crides HTTPS sortints.

El mateix modus operandi va afectar una altra acció, actions-cool/maintain-one-comment, fet que suggereix una campanya coordinada. GitHub ha respost deshabilitant l’accés als repositoris afectats. El domini d’exfiltració s’ha associat també amb la campanya «Mini Shai-Hulud» que afecta paquets npm de l’ecosistema @antv, la qual cosa apunta a una possible connexió entre aquests esdeveniments de cadena de subministrament.

Implicacions tècniques i riscos empresarials

Aquest incident posa de manifest diversos riscos per a organitzacions que depenen de GitHub Actions i, per extensió, de qualsevol pipeline CI/CD:

1. Compromís de credencials i accés indegut

L’objectiu principal va ser el robatori de credencials. Les credencials de CI/CD sovint tenen permisos elevats per interactuar amb repositoris, registres de contenidors, serveis al núvol, bases de dades i sistemes de producció. El compromís pot conduir a:

  • Exfiltració de codi font propietari.
  • Desplegament de codi maliciós en producció, amb possibles backdoors, ransomware o robatori de dades de clients.
  • Accés a entorns cloud, amb manipulació de recursos, escalada de privilegis i compromís d’infraestructures crítiques.

2. Violació de la cadena de subministrament de programari

És un exemple clàssic d’atac a la cadena de subministrament. En comprometre una dependència compartida (una GitHub Action molt usada), els atacants poden impactar molts projectes aigües avall. La seguretat de l’aplicació depèn no només del codi propi, sinó de cada component emprat en construir-la i desplegar-la.

3. Eludir controls estàndard

La tècnica del «commit impostor» permet esquivar revisions de PR, un control essencial en molts fluxos de desenvolupament. Confiar únicament en aquestes revisions pot no bastar davant d’amenaces sofisticades.

4. Confiança i continuïtat del negoci

Un atac reeïxit pot aturar desenvolupament i desplegaments i generar interrupcions importants. La pèrdua de confiança i possibles conseqüències reguladores o de reputació poden perllongar-se en el temps.

Recomanacions pràctiques per reforçar els pipelines CI/CD

Protegir pipelines i entorns DevSecOps exigeix processos, eines i cultura de seguretat. Accions clau:

1. Auditoria i pinning de dependències de GitHub Actions

  • Fixació a SHAs concrets: els fluxos que referencien accions només per etiquetes (v1, latest) són vulnerables; analistes com els de StepSecurity ho destaquen. Fixeu cada acció a un SHA de commit complet i auditat per executar exactament el codi validat.
  • Revisió d’ús: inventarieu totes les GitHub Actions: necessitat real, mantenidors i reputació.

2. Gestió de secrets i credencials

  • Mínim privilegi: credencials amb el conjunt mínim de permisos; eviteu comptes sobredimensionats als entorns de build.
  • Rotació periòdica: polítiques per a claus API, tokens i contrasenyes CI/CD.
  • Emmagatzematge segur: GitHub Secrets o gestors com HashiCorp Vault; mai secrets en clar al codi.
  • Secret scanning: detecteu fuites accidentals als repositoris.

3. Enduriment d’executors CI/CD

  • Entorns efímers: executors que es creen i es destrueixen per execució per reduir persistència de malware.
  • Aïllament: separació entre executors i xarxa interna; trànsit sortint només cap a dominis necessaris.
  • Monitorització: detecteu descàrregues inesperades o crides a dominis no autoritzats.

4. Estratègies DevSecOps, SAST i anàlisi de composició

  • SAST: vulnerabilitats al codi abans de compilar.
  • Anàlisi de dependències (SCA): composició de programari i biblioteques de tercers.
  • Revisions de seguretat: més enllà de la revisió funcional, avaluació de configuració i lògica de seguretat.

5. Monitorització i detecció d’amenaces

  • Registres centralitzats: correlació d’esdeveniments entre GitHub Actions i altres sistemes CI/CD.
  • Alertes: canvis crítics de configuració, indicadors d’exfiltració i errors de seguretat.
  • Intel·ligència d’amenaces: seguiment de campanyes que afecten GitHub Actions i l’ecosistema CI/CD.

Com ITCS VIP pot ajudar a reforçar la seguretat DevSecOps

A ITCS VIP entenem que la seguretat de la cadena de subministrament és clau per a la resiliència. Els nostres serveis ajuden a construir i mantenir pipelines DevSecOps sòlids:

  • Auditories de GitHub Actions i CI/CD: avaluació de configuracions i fluxos, amb orientació sobre pinning, secrets i enduriment d’executors.
  • Implementació de polítiques DevSecOps: controls en cada fase del pipeline, de l’escaneig al monitoratge de desplegaments, amb enfocament shift-left.
  • Gestió de secrets empresarials: avaluació i desplegament de solucions escalables amb mínim privilegi i rotació.
  • Formació i conscienciació: equips de desenvolupament i operacions sobre amenaces supply chain i bones pràctiques de codi i pipelines.
  • Monitorització contínua i resposta a incidents: registres i alertes per detectar anomalies i minimitzar l’impacte d’atacs.

No esperi a ser la propera víctima d’un atac a la cadena de subministrament. Contacteu amb ITCS VIP per reforçar de manera proactiva la seguretat dels vostres pipelines CI/CD.