标签
tj-actions和reviewdog遭供应链攻击,攻击者将标签指向fork中的恶意提交以绕过PR审查。cloudflare/wrangler-action、slackapi/slack-github-action、devcontainers/ci等热门action虽无恶意,但发布流程导致提交游离于分支之外,用户无法区分正常发布与攻击。建议CI/CD用户警惕此发布模式,可使用StepSecurity等工具检测冒名提交。
StepSecurity扩展了其Policy Driven PRs功能,可自动将组织内所有仓库中使用的第三方GitHub Actions替换为StepSecurity维护的安全版本。该功能针对存在供应链攻击风险的动作设计,如tj-actions/changed-files和reviewdog actions曾遭受的安全漏洞事件。此功能目前仅限Enterprise版用户使用,可帮助企业快速在组织层面执行安全策略,消除repo逐个手动更新的繁琐工作。
过去三年间,Kong、Docker Hub、Ultralytics、PyPI、npm及xrpl.js等平台发生多起供应链攻击事件。攻击者利用被盗的GitHub Actions令牌或开发者账户凭证,绕过CI/CD流程直接向注册表发布恶意版本(如Kong v3.4.0后门镜像、xrpl.js后门SDK等),导致恶意容器和投毒库在官方渠道流通数天至数周未被检测。StepSecurity Artifact Monitor通过实时关联发布物与CI/CD工作流执行日志,可在数分钟内标记非合规版本,建议企业部署此类registry监控工具以防止供应链攻击。
StepSecurity的Harden-Runner现已保护超过7000个GitHub仓库,每周监控超过500万个CI/CD任务。该工具在tj-actions供应链攻击事件中发挥了早期预警作用,通过冒名提交检测、进程行为分析和基线监控等功能,帮助开发者和企业防护CI/CD流水线中的供应链威胁。GitLab用户现也可使用该工具的遥测和策略执行功能。