标签
Datadog《2026年DevSecOps状态》报告揭示,87%的组织存在可利用漏洞,71%的GitHub Actions用户从不pin action hash,50%的组织在库发布当天就引入依赖——这些漏洞直接导致tj-actions、Shai-Hulud等供应链攻击事件。StepSecurity通过Harden-Runner运行时监控检测异常行为、Orchestrate Security自动为actions pin SHA以及NPM Package Cooldown阻止发布当日依赖,在CI/CD管道层面阻断攻击链。
2026年4月7日,恶意版本9.4.1的npm包@velora-dex/sdk被直接发布到npm注册表,攻击者在dist/index.js中注入了三行代码,payload在require()或import时立即触发,绕过了--ignore-scripts防护。该包从C2服务器89.36.224.5下载shell脚本,针对ARM64和x8664架构分别投递profiler后门,放置于~/Library/Application Support/com.apple.Terminal/目录伪装成合法文件,并通过launchctl注册为zsh.profiler持久化服务。若已安装此版本,应立即回退至9.4.0并视机器及所有可用凭据为已泄露。
StepSecurity 宣布 Harden Runner 现已支持 Windows 和 macOS GitHub Actions 托管运行器,成为首个覆盖 Linux、Windows、macOS 三大平台 runtime 安全监控的 CI/CD EDR 解决方案。该工具此前已在 tj-actions/changed-files 供应链攻击和 Shai Hulud 攻击活动中成功检测真实威胁,现在可进一步监控跨平台网络连接和进程执行行为。公共仓库可免费使用 Community 版本,配置语法与 Linux 平台完全一致,无需修改 workflow 文件即可启用监控。
StepSecurity 发布两款安全工具:GitHub Actions Advisor 和 StepSecurity Maintained Actions。前者为 GitHub Actions 提供 1-10 分安全评分,基于维护状态、漏洞、流行度、分支保护、许可证和安全策略六个维度评估风险;同时通过 Harden-Runner 运行时分析揭示 Actions 的网络行为,防止恶意或被篡改的 Actions 外泄代码和凭证。后者由 StepSecurity 接手维护低分或已废弃的第三方 Actions,人工和自动审查代码并应用安全最佳实践,适用于 Team 和 Enterprise 付费计划,可显著降低企业安全风险并提升开发者效率。
CircleCI和TravisCI等CI/CD平台因存储敏感密钥而成为攻击目标,CircleCI近期建议用户轮换所有存储的密钥。StepSecurity开源项目wait-for-secrets允许在CI/CD执行时交互式提供密钥,无需长期存储访问密钥,并支持多因素认证。此方案可减少密钥维护负担,建议在高权限操作中采用以提升软件供应链安全。
GitHub推出了自定义运行器镜像功能(公开预览版),允许组织将StepSecurity的Harden-Runner安全代理直接嵌入到运行器镜像中。GitHub Actions用户现在可实现组织范围的运行时保护,无需在每个workflow文件中逐一添加Harden-Runner步骤,解决了大规模部署时的维护负担和治理漏洞。该架构使CI/CD安全从工作流级别的附加组件转变为平台层面的默认保护,现有workflow文件中的Harden-Runner步骤不会产生冲突。
2025年11月23日至24日,npm生态爆发大规模供应链攻击"Sha1-Hulud",超过780个npm包被篡改,包括Zapier、ENS Domains、PostHog等知名项目的包,CNCF的Backstage项目在运行E2E测试时执行了被污染的包。StepSecurity Harden Runner通过基线异常检测识别出攻击:恶意preinstall脚本向bun.sh和oss.trufflehog.org发起异常网络连接——这些域名从未出现在Backstage的E2E工作流历史中。该案例证明运行时监控能有效检测零日供应链攻击,启用阻断模式可直接阻止恶意连接,阻止攻击进展。
StepSecurity的Harden-Runner现已保护超过9000个开源仓库,每周监控超过1200万次CI/CD任务,为GitHub Actions等CI/CD平台提供运行时安全防护。OWASP 2025 Top 10将“软件供应链安全失败”列为第一大风险,明确指出CI/CD流水线已成为主要攻击面,CrowdStrike、Kong、Brotli等关键开源项目已采用该工具。Harden-Runner作为CI/CD运行时的EDR解决方案,可实时监控工作流并阻断恶意活动,标志着供应链攻击正从依赖环节转向构建过程本身。
StepSecurity的Harden-Runner已保护超过8,000个开源仓库,通过EDR风格的运行时监控为GitHub Actions的CI/CD管道提供防护。该工具曾检测到影响超过23,000个仓库的tj-actions供应链攻击(涉及GitHub、Meta、Microsoft),并捕获了AWS configure-aws-credentials的异常标签操作。近期它还检测到npm生态系统中的多起攻击,包括chalk、debug、NX Build System等流行包的妥协事件,以及GhostAction活动中3,000+个密钥被盗的情况。关键启示:运行时行为监控能够发现静态分析无法识别的供应链威胁,对Kubernetes、Ruby等关键项目的CI/CD管道防护尤为重要。