Аналитики компании Orca предупредили, что преступники могут использовать CI/CD платформу GitHub Actions для тайпсквоттинга, вынуждая ничего не подозревающих пользователей посещать вредоносные сайты или загружать вредоносные программы и пакеты. «Если разработчик допускает опечатку в своем GitHub Action, и это действие (action) совпадает с действием тайпсквоттера, то приложения будут запускать вредоносный код, а разработчик даже не узнает об этом», — пишут специалисты. Такая атака возможна благодаря тому, что любой человек может опубликовать action на GitHub, создав GitHub-аккаунт с использованием временной учетной записи электронной почты. Учитывая, что GitHub Actions выполняются в контексте пользовательского репозитория, вредоносное действие может применяться для вмешательства в исходный код, кражи секретов и доставки вредоносного ПО. Все, что понадобится сделать злоумышленнику — создать организации и репозитории с именами, которые очень похожи на популярные и широко используемые GitHub Actions. В результате, если пользователь допустит опечатку при настройке action для своего проекта, а неправильная версия уже будет создана злоумышленником, то в рамках воркфлоу пользователя будет запущено вредоносное действие. «Представьте себе action, который ворует конфиденциальную информацию или модифицирует код, внедряя в него малозаметные ошибки или бэкдоры, потенциально влияющие на все последующие сборки и развертывания, — объясняют исследователи. — Более того, вредоносное действие может даже использовать ваши учетные данные GitHub для распространения вредоносных изменений в другие репозитории в вашей организации, масштабируя ущерб на множество проектов». Специалисты Orca пишут, что уже обнаружили на GitHub 194 файла, которые используют «action/checkout» и «actons/checkout» вместо «actions/checkout» (отсутствуют буквы «s» и «i»), подвергая риску эти проекты. Публичные репозитории, использующие организацию «action» Исследователи считают, что такая форма тайпсквоттинга может быть весьма привлекательной для злоумышленников, поскольку это недорогая и эффективная атака, которая может привести к компрометации цепочки поставок, затронув сразу ряд клиентов. Пользователям рекомендуется тщательно перепроверять свои GitHub Actions и следить за тем, чтобы там не было опечаток, использовать действия только из надежных источников и периодически проверять свой CI/CD воркфлоу на наличие ошибок. «На самом деле проблема может оказаться еще серьезнее, так как мы рассматривали только то, что происходит в публичных репозиториях. Воздействие на частные репозитории, где те же самые опечатки могут привести к серьезным нарушениям безопасности, остается неизвестным», — заключают эксперты.