Descoberta e escopo
Ataques à cadeia de suprimentos de software continuam a evoluir, e um novo incidente destaca os riscos associados a ações do GitHub. A empresa de segurança de aplicações Xygeni teve sua ação xygeni/xygeni-action comprometida através de uma técnica de tag poisoning. Os atacantes operaram um implant de comando e controle (C2) ativo por até uma semana, explorando a confiança que desenvolvedores depositam em bibliotecas de terceiros.
Este tipo de ataque é particularmente perigoso porque a ação comprometida pode ser utilizada em pipelines de CI/CD de diversas organizações, potencialmente infectando múltiplos ambientes de desenvolvimento e produção. A natureza da exploração sugere que os atacantes buscaram acesso persistente e capacidade de roubo de credenciais ou injeção de código malicioso nos builds.
Evidências e limites
Relatos indicam que a exploração foi detectada e a ação foi removida ou corrigida, mas o período de exposição de uma semana é suficiente para causar danos significativos. A técnica de tag poisoning envolve a manipulação de referências de versão em repositórios, enganando os usuários para que baixem versões comprometidas em vez das legítimas.
Para profissionais de segurança, este incidente reforça a necessidade de monitoramento contínuo de dependências e validação de integridade de ações do GitHub. A verificação de hashes e a assinatura de commits são práticas essenciais para mitigar riscos semelhantes.
Repercussão
O comprometimento de uma ação de AppSec é irônico e serve como um lembrete de que nenhuma ferramenta é imune a ataques. Organizações que utilizam a ação xygeni/xygeni-action devem revisar seus logs de CI/CD em busca de atividades anômalas e considerar a rotação de credenciais se houver suspeita de exposição.