GitHub comme vecteur d’attaque des chaînes logistiques

Thèmes:

25 mars 2025

GitHub est une plateforme inestimable utilisée par les développeurs d’applications pour gérer les workflows, assurer le contrôle des versions, stocker et partager le code, collaborer sur des projets, et bien d’autres activités. Mais les récentes attaques exploitant des actions et des artefacts piratés sur GitHub nous rappellent à quel point il est important de mettre en œuvre les bonnes pratiques de sécurité des chaînes logistiques lors de l’utilisation de code tiers.

Un vecteur irrésistible

De par sa nature même, GitHub est très attractif pour les cybercriminels en tant que vecteur d’attaques des chaînes logistiques logicielles. Si les pirates parviennent à contourner les contrôles de sécurité de GitHub et à compromettre un fragment de code (un élément de base partagé) couramment utilisé par un grand nombre de développeurs, ils peuvent obtenir l’accès par porte dérobée à des centaines ou des milliers de réseaux contenant des données précieuses à extraire.

Une action compromise affecte 23 000

Aujourd’hui, 19 mars 2025, au moment où j’écris ces lignes, une attaque majeure a été découverte. Comme signalé par une alerte publiée par la CISA (Cybersécurité and Infrastructure Security Agency) des États-Unis :

Une action GitHub tierce populaire, tj-actions/changed-files (référence CVE-2025-30066), a été compromise. Cette action GitHub est conçue pour détecter quels fichiers ont été modifiés lors d’une requête d’extraction ou d’un commit. La compromission de la chaîne logistique permet de divulguer les secrets, y compris les clés d’accès valides, les jetons d’accès personnels GitHub (PAT), les jetons npm et les clés RSA privées. Ce problème a été corrigé dans la version 46.0.1.

L’action GitHub compromise a été active dans quelque 23 000 référentiels GitHub différents. Pendant cette période, des secrets ont ainsi pu être exposés au public à grande échelle.

L’une des caractéristiques inattendues de l’attaque est que la charge utile malveillante n’exfiltre pas les données volées vers un serveur externe. Elle les dépose simplement dans le référentiel, où toute personne y ayant accès peut les voir.

Principales entreprises touchées par la compromission des artefacts

En août 2024, des chercheurs ont découvert une attaque dans laquelle des artefacts open source ont été « empoisonnés », affectant des projets appartenant à Google, Microsoft, Amazon Web Services et bien d’autres. En compromettant le pipeline d’intégration et de déploiement continus, il a été facile aux pirates d’introduire du code malveillant dans la production, ou d’accéder à des secrets dans le référentiel GitHub ou ailleurs dans le réseau.

Heureusement, les cas identifiés ont tous été résolus rapidement et il ne semble pas que d’autres activités malveillantes aient eu lieu.

Cet article de Dark Reading d’Elizabeth Montalbano fournit une explication technique complète de l’attaque.

Un programme Colorama compromis déclenche un vol de données

En avril 2024, Matthew Russo a fait état sur ce blog d’une autre attaque de chaîne logistique qui exploitait GitHub. Grâce à une combinaison de cookies de navigateur volés, de typosquattage et autres techniques, les criminels ont pu déployer une copie falsifiée de Colorama, un logiciel tiers utilisé par des millions de développeurs.

Des ressources malveillantes sont parvenues à voler les données de plusieurs navigateurs.

Ces données comprennent des informations de remplissage automatique, des cookies, des cartes de crédit, des identifiants de connexion et l’historique de navigation. L’acteur malveillant peut également s’introduire dans Discord, à la recherche de jetons à décrypter pour accéder au compte de la victime et voler des portefeuilles de cryptomonnaies, s’emparer de données Telegram et exfiltrer des fichiers informatiques. Il cherche aussi à voler des informations sensibles dans les fichiers Instagram à l’aide d’un jeton de session et peut enregistrer les frappes au clavier des victimes, exposant ainsi des informations telles que des mots de passe, des messages personnels et des détails financiers.

Sécurité de la chaîne logistique

GitHub fournit lui-même un ensemble complet de ressources de sécurité.

Cet article présente des conseils spécifiques sur les bonnes pratiques de sécurité, y compris l’utilisation sécurisée des actions et workflows tiers. Différentes mesures sont abordées, comme l’épinglage des actions à un SHA de validation complet ou l’audit du code source de l’action.

Vous trouverez ici la liste complète des conseils de sécurité de GitHub.

Voici quelques recommandations générales concernant la sécurité des chaînes logistiques logicielles :

Vérifier les dépendances et les ressources avant toute interaction

Surveiller toute activité réseau suspecte

Maintenir une posture de sécurité adéquate

Une solide plateforme de protection des applications Web et des API (WAAP) comme Barracuda Application Protection peut vous aider en assurant la détection et la correction des vulnérabilités pendant et après le développement, et en utilisant Active Threat Intelligence pour répondre rapidement aux nouvelles vulnérabilités et exploits.

En savoir plus sur Barracuda Application Protection

Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE