Retour au blog
19 mai 20265 min de lecture

Attaque de la chaîne d’approvisionnement sur GitHub Actions : sécuriser vos pipelines CI/CD

Attaque de la chaîne d’approvisionnement sur GitHub Actions : rappel urgent sur la sécurité CI/CD

Des médias comme The Hacker News ont couvert cet incident ; ci-dessous nous synthétisons la mécanique rendue publique et ce qu’elle implique pour les équipes DevSecOps.

Dans un paysage de menaces en mouvement permanent, les attaques contre la chaîne d’approvisionnement logicielle restent une priorité. Récemment, un incident majeur impliquant GitHub Actions a mis en lumière la fragilité des environnements d’intégration et de déploiement continus (CI/CD) lorsqu’ils ne sont pas correctement protégés. Cette attaque repose sur la manipulation de balises (tags) très utilisées sur GitHub Actions afin de rediriger vers un « faux commit », ce qui rappelle l’importance d’une posture de sécurité solide sur toute la pile DevSecOps.

Que s’est-il passé ? Mécanisme de l’attaque

L’attaque a ciblé l’action actions-cool/issues-helper. Les attaquants ont réussi à faire pointer toutes les balises existantes de ce dépôt vers un « faux commit ». Ce commit malveillant n’appartenait pas à l’historique de confiance du projet ; il se trouvait sur une fork contrôlée par l’adversaire, permettant d’injecter du code sans passage par les revues de pull request (PR) habituelles.

Une fois exécuté sur un exécuteur GitHub Actions, le code malveillant :

  • Téléchargeait le runtime JavaScript Bun, ce qui illustre la sophistication du payload et sa capacité à exécuter des scripts.
  • Exfiltrait des secrets en lisant la mémoire du processus Runner.Worker pour voler des informations d’identification sensibles de l’environnement CI/CD.
  • Exfiltrait les données vers un domaine contrôlé par les attaquants (t.m-kosche[.]com) via des requêtes HTTPS sortantes.

Le même modus operandi a touché une autre action, actions-cool/maintain-one-comment, ce qui suggère une campagne coordonnée. GitHub a réagi en restreignant l’accès aux dépôts concernés. Le domaine d’exfiltration a par ailleurs été associé à la campagne « Mini Shai-Hulud » visant des paquets npm de l’écosystème @antv, ce qui laisse entrevoir un lien entre ces incidents d’approvisionnement.

Implications techniques et risques pour l’entreprise

1. Compromission des identifiants

Les secrets CI/CD ont souvent des droits élevés sur le code, les registres, le cloud et la production. Leur vol peut mener à l’exfiltration du code, à du déploiement malveillant (portes dérobées, ransomware, fuite de données clients) ou à l’abus des environnements cloud.

2. Attaque supply chain

En compromettant une dépendance largement adoptée (une action GitHub populaire), les adversaires peuvent impacter de nombreux projets en aval. La sécurité d’une application dépend de chaque brique de build et de déploiement.

3. Contournement des garde-fous

La technique du « faux commit » peut court-circuiter les revues de PR, pourtant essentielles. S’appuyer uniquement sur la revue ne suffit pas contre des scénarios aussi élaborés.

4. Continuité et confiance

Une compromission peut bloquer développement et mises en production, nuire durablement à la confiance et exposer à des sanctions ou à un impact réputationnel prolongé.

Recommandations pour renforcer vos pipelines CI/CD

1. Audit et épinglage des actions

  • Épingler sur un SHA complet : les flux qui référencent des actions uniquement par balise (v1, latest) sont exposés, comme le soulignent notamment les analyses de StepSecurity. Figez chaque action sur un commit SHA audité pour exécuter exactement le code validé.
  • Passer l’inventaire des actions : utilité réelle, mainteneurs, réputation.

2. Gestion des secrets et identifiants

  • Moindre privilège : veillez à ce que les identifiants utilisés dans les pipelines CI/CD disposent uniquement des permissions strictement nécessaires. Évitez les comptes surdimensionnés dans les environnements de build.
  • Rotation régulière : mettez en place une politique de rotation pour clés API, jetons et mots de passe CI/CD.
  • Stockage sécurisé : privilégiez GitHub Secrets ou un gestionnaire de secrets tiers (par ex. HashiCorp Vault) plutôt que des secrets en clair dans le code ou la configuration.
  • Secret scanning : activez le balayage des secrets pour détecter les fuites accidentelles dans les dépôts.

3. Durcissement des exécuteurs (runners) CI/CD

  • Environnements éphémères : utilisez des runners jetables recréés à chaque exécution pour limiter la persistance d’un éventuel malware.
  • Isolation : isoler les exécuteurs les uns des autres et du réseau interne ; restreindre le trafic sortant aux domaines autorisés.
  • Surveillance : corréler journaux et alertes pour repérer téléchargements inattendus ou appels vers des domaines non approuvés.

4. Stratégies DevSecOps, SAST et analyse de composition

  • SAST : intégrez l’analyse statique avant compilation pour repérer des défauts dans le code source.
  • Analyse de dépendances (SCA) : identifiez les vulnérabilités des bibliothèques et composants tiers.
  • Revue sécurité : complétez la revue fonctionnelle par des examens ciblés sur la configuration et la logique de sécurité.

5. Supervision et détection des menaces

  • Journaux centralisés : agrégez les logs GitHub Actions et les autres outils CI/CD pour faciliter l’analyse d’incident.
  • Alertes : notifiez les événements sensibles (échecs de sécurité, changements de configuration, signes d’exfiltration).
  • Veille : suivez les campagnes et vulnérabilités affectant GitHub Actions et l’écosystème CI/CD.

Comment ITCS VIP peut vous accompagner

Chez ITCS VIP, nous considérons la sécurité de la chaîne d’approvisionnement comme un pilier de la résilience. Nos équipes peuvent vous aider à :

  • Auditer GitHub Actions et vos pipelines CI/CD : évaluation des workflows, du pinning des actions, de la gestion des secrets et du durcissement des runners.
  • Déployer des politiques DevSecOps : intégration de contrôles à chaque étape, du scan de code au suivi des déploiements, avec une approche shift-left cohérente.
  • Structurer la gestion des secrets à grande échelle, avec moindre privilège et rotation régulière.
  • Former vos équipes aux menaces supply chain et aux bonnes pratiques de développement et de configuration de pipelines résilients.
  • Mettre en œuvre surveillance et réponse aux incidents pour détecter les anomalies et limiter l’impact d’un compromis.

N’attendez pas d’être la prochaine cible d’une attaque supply chain. Contactez ITCS VIP pour renforcer proactivement la sécurité de vos environnements CI/CD.