В современном цифровом мире безопасность программного обеспечения становится критически важной, особенно когда речь идет об открытых репозиториях и экосистемах, таких как GitHub, PyPI, npm, DockerHub и других. Недавняя атака под названием GhostAction продемонстрировала уязвимости цепочек поставок и вызвала серьезные волнения среди разработчиков и специалистов по информационной безопасности. Эта вредоносная кампания привела к раскрытию более 3300 секретных ключей и токенов, что ставит под угрозу огромное количество проектов и сервисов. GhostAction - это sophisticated атака на цепочку поставок, направленная на автоматизированные процессы и инфраструктуру GitHub Actions. Вредоносная кампания была обнаружена компанией GitGuardian 2 сентября 2025 года, когда исследователи заметили подозрительные изменения в одном из популярных проектов - FastUUID.
Используя взломанные аккаунты мейнтейнеров, злоумышленники смогли внедрить вредоносные коммиты, которые автоматически выполнялись в рамках GitHub Actions и извлекали ценные секреты из окружения этих проектов. Ключевой особенностью этой атаки стал механизм кражи данных. Как только вредоносный workflow срабатывал при пуше или вручном запуске, он собирал из среды GitHub Actions все доступные секреты, такие как токены доступа PyPI, npm, DockerHub, а также API-ключи для облачных платформ Cloudflare, AWS и другие учетные данные. После сбора эти данные отправлялись через HTTP-запросы на специально контролируемый злоумышленниками внешний сервер, расположенный по домену bold-dhawan[.]45-139-104-115[.
]plesk[.]page. Расследование показало, что атака коснулась не одного проекта, а как минимум 817 репозиториев, причем злоумышленники систематически собирали имена секретов из легитимных workflows и жёстко кодировали их для максимального объема кражи. Такой подход позволил похитить в общей сложности около 3325 уникальных секретов, многие из которых являются ключами с широкими правами доступа и могут быть использованы для серьезных действий, включая размещение вредоносного ПО на доверенных платформах. Угроза такого масштаба привела к немедленным реакциям со стороны технического сообщества и соответствующих команд безопасности GitHub, npm и PyPI.
В 573 затронутых репозиториях были созданы специальные тревожные issues с уведомлением мейнтейнеров, а в 100 проектах удалось оперативно отменить вредоносные коммиты. Остальные проекты либо были удалены, либо временно отключены, чтобы минимизировать дальнейший ущерб. Немаловажно отметить, что хотя прокомпрометированный PyPI-токен проекта FastUUID был украден, на момент обнаружения атаки вредоносных релизов не последовало. Однако в целом по крайней мере 9 пакетов npm и 15 пакетов PyPI также оказались затронуты утечками, что создает потенциал для появления троянизированных версий в будущем, если украденные секреты не будут отозваны вовремя. Это серьезный риск, который может привести к масштабным киберинцидентам, учитывая популярность данных пакетов и их широчайшее использование в разработке ПО.
GhostAction демонстрирует тренд на увеличение атак на цепочки поставок, где недобросовестные хакеры нацеливаются именно на доверенные компоненты инфраструктуры, которая используется для автоматизации сборок и развертывания. Ранее подобная кампания под названием s1ngularity произошла в конце августа 2025 года, однако специалисты GitGuardian уверены в отсутствии прямой связи между этими атаками, что говорит об усилении активности нескольких независимых групп злоумышленников. Одним из главных уроков, вынесенных из инцидента GhostAction, становится необходимость повышения кибергигиены среди мейнтейнеров и команд разработки. В первую очередь стоит обратить внимание на защиту аккаунтов, использование многофакторной аутентификации и жесткий контроль доступа к секретам в средах автоматизации. Регулярное проведение аудитов и мониторинга активности workflows позволяет своевременно обнаруживать подозрительные изменения и предотвращать инциденты.
Кроме технических мер, увеличивается важность взаимодействия внутри сообщества разработчиков и платформ. Быстрая реакция и уведомление о возможных уязвимостях помогают снижать последствия атак и минимизировать область поражения. Координация усилий, обмен информацией о новых тактиках атакующих и совместная работа с безопасниками могут стать ключевым фактором в борьбе с будущими угрозами. Технические специалисты также рекомендуют избегать использования секретов с избыточными полномочиями, вместо этого создавая минимально необходимые для работы ключи и регулярно их обновляя. В дополнение стоит применять технологии секретного управления с ротацией ключей и ограничением доступа, а также автоматические проверки workflows с помощью специализированных инструментов безопасности.
Атака GhostAction показывает, что даже самые продвинутые и проверенные временем инфраструктуры могут стать объектом кибератак. В эпоху высоких скоростей разработки и интеграций безопасность перестает быть опцией и становится обязательной составляющей жизненного цикла проектов. Риски для открытого исходного кода возрастают, и защита должна быть неотъемлемой частью процессов от идеи до развертывания. Наконец, компаниям и разработчикам стоит учитывать, что атаки такого масштаба могут иметь отложенные последствия, включая компрометацию клиентских систем и организационную репутацию. Создание культуры кибербезопасности и постоянное обучение сотрудников - важный путь к снижению уязвимости.
Понимание механики, примененной в GhostAction, позволяет лучше подготовиться к будущим вызовам и формировать более эффективные стратегии защиты как для конкретных проектов, так и для целых экосистем разработки. Как показывает практика, инвестиции в современные методы кибербезопасности и вовлеченность сообщества - ключ к обеспечению надежности цифровых сервисов и сохранению доверия пользователей. .
