**GitHub Actions**ユーザーは、ワークフロー「actions-cool/issues-helper」に影響を与える最近の侵害に注意する必要があります。**StepSecurity**の研究者Varun Sharma氏によると、「リポジトリ内のすべての既存タグは、アクションの通常のコミット履歴に表示されない偽装コミットを指すように移動されました。そのコミットには、アクションを実行するCI/CDパイプラインから認証情報を窃取する悪意のあるコードが含まれています。」 ### 偽装コミット：サプライチェーンの脅威 この攻撃は、「偽装コミット」という手法を利用しています。これは、敵対者が制御するフォークにのみ存在するコミットまたはタグを参照することで悪意のあるコードが注入される手法です。これにより、攻撃者は標準的なプルリクエスト（PR）レビューを回避し、任意のコード実行を達成できます。 ### 攻撃の技術的詳細 悪意のあるコミットは、**GitHub Actions**ランナー内で以下の操作を実行します。 * **Bun** JavaScriptランタイムをダウンロードします。 * ランナーのWorkerプロセスのメモリを読み取り、認証情報を抽出します。 * 攻撃者が制御するドメイン（"t.m-kosche[.]com"）へのHTTPSアウトバウンドコールを行い、盗まれたデータを送信します。 **StepSecurity**はまた、「actions-cool/maintain-one-comment」**GitHub Action**に関連する15個のタグが、同じ悪意のある機能で侵害されていると報告しています。 ### GitHubの対応と他のキャンペーンとの潜在的な関連性 **GitHub**はその後、「**GitHub**の利用規約違反」のため、リポジトリへのアクセスを無効にしました。この決定の理由は現在不明です。 興味深いことに、流出ドメイン「t.m-kosche[.]com」は、以前に@antvエコシステムの**npm**パッケージを標的とした**Mini Shai-Hulud**キャンペーンで観測されており、両方の活動間に潜在的な関連性があることを示唆しています。 ### 緩和策 **StepSecurity**は、「すべてのタグが現在悪意のあるコミットを解決するため、バージョンでアクションを参照するすべてのワークフローは、次回の実行時に悪意のあるコードをプルします。既知の良好な完全なコミットSHAにピン留めされたワークフローのみが影響を受けません。」とアドバイスしています。 したがって、これらのアクションのユーザーは直ちに以下を行うべきです。 * タグを使用する代わりに、ワークフローを既知の良好な完全なコミットSHAにピン留めします。 * CI/CDパイプラインを監査し、不正アクセスや認証情報の漏洩がないか確認します。