▲GN⁺ 2025-03-16 | parent | ★ favorite | on: `tj-actions/changed-files` GitHub Action 해킹됨 - 23000개 Repo가 사용중(stepsecurity.io)Hacker News 의견 Renovate의 작성자 및 유지보수자가 공격 시나리오를 설명함 공격자가 tj-actions/changed-files 저장소에 쓰기 권한을 가졌음 공격자는 Renovate 커밋을 스푸핑하여 최근 커밋을 위장했음 이 스푸핑은 PR을 속이기 위한 것이 아니라 단순히 혼란을 주기 위한 것이었음 커밋은 Unverified로 표시되었고, 대부분의 사람들은 서명된 커밋만을 강제하지 않음 실제 Renovate Bot은 의존성을 업데이트하기 위한 PR을 제안함 일부 사람들은 자동 병합을 활성화했지만, 이는 기본 설정이 아님 이 사건은 많은 사람들이 git 태그가 불변이라고 잘못 생각한다는 것을 상기시킴 최근 몇 년 동안 타사 의존성과 확장에 대한 신뢰가 줄어들고 있음 npm 패키지의 의존성이 많으면 설치하지 않음 vscode나 chrome 확장을 설치하지 않음 악성 코드가 추가되거나 라이선스가 변경되는 경우가 많음 eslint의 의존성 트리를 보면 모든 것을 신뢰할 수 있는지 의문임 저장소가 다시 온라인 상태가 되었고 개발자가 설명을 제공함 공격은 @tj-actions-bot 계정의 PAT 토큰에서 발생했음 계정 보안이 강화되었고, GitHub는 손상된 PAT를 취소함 Clickhouse에서 github_events를 조사하여 공격에 사용된 계정을 확인함 "2ft2dKo28UazTZ", "mmvojwip" 계정이 의심스러움 CI/CD를 실행하는 방식이 GitHub의 임의 저장소를 나열하는 것이라는 점이 충격적임 LLMs의 증가로 인해 문제가 더 심각해짐 중요한 작업은 수동으로 실행해야 함 StepSecurity의 공동 창립자가 보안 사고를 감지한 방법을 설명함 Harden-Runner가 GitHub Actions 워크플로우의 네트워크 호출을 모니터링하여 이상 징후를 감지함 GitHub Actions의 기본 사용 방식이 불변하지 않은 git 태그를 사용하는 것이 문제임 SHA-1 해싱 알고리즘이 충돌을 일으킬 수 있어 SHA-256 지원이 필요함 불변 GitHub Actions가 도입될 예정임 Actions를 포크하거나 커밋 해시를 사용함 maven-lockfile 프로젝트가 자동 병합된 PR을 설명함 진짜 Renovate Bot이 가짜 Renovate Bot의 커밋을 자동 병합함 GitHub Actions는 의존성에 대해 lockfile을 사용해야 함 Semver 표기법이 문제 해결에 좋은 솔루션임
Hacker News 의견
Renovate의 작성자 및 유지보수자가 공격 시나리오를 설명함
최근 몇 년 동안 타사 의존성과 확장에 대한 신뢰가 줄어들고 있음
저장소가 다시 온라인 상태가 되었고 개발자가 설명을 제공함
Clickhouse에서 github_events를 조사하여 공격에 사용된 계정을 확인함
CI/CD를 실행하는 방식이 GitHub의 임의 저장소를 나열하는 것이라는 점이 충격적임
StepSecurity의 공동 창립자가 보안 사고를 감지한 방법을 설명함
GitHub Actions의 기본 사용 방식이 불변하지 않은 git 태그를 사용하는 것이 문제임
불변 GitHub Actions가 도입될 예정임
maven-lockfile 프로젝트가 자동 병합된 PR을 설명함
GitHub Actions는 의존성에 대해 lockfile을 사용해야 함