Nieuws
image

3.325 secrets gestolen bij supply chain-aanval op GitHub

dinsdag 9 september 2025, 09:42 door Redactie, 5 reacties

Bij een supply chain-aanval op GitHub zijn 3.325 secrets gestolen. Het gaat onder meer om tokens van PyPI, npm, DockerHub en GitHub, en sleutels van Cloudflare en AWS. De aanval wordt 'GhostAction' genoemd. Hiervoor waarschuwen onderzoekers van GitGuardian, die de aanval ontdekten. Zij melden op 2 september de eerste signalen te hebben gezien van de aanval op een van de getroffen GitHub-projecten: FastUUID.

De aanvaller wist via een gecompromitteerd account commits uit te voeren waarmee zij een malafide GitHub Actions-workflow bestand verspreiden. Dit bestand werd uitgevoerd bij een 'push', of kon handmatig worden uitgevoerd. Eenmaal uitgevoerd zoekt het bestand naar secrets in de GitHub Actions-omgeving van het project. Deze secrets stuurt de malware door naar een extern domein dat onder beheer staat van de aanvaller. In het geval van FastUUID is zo de PyPI-token van het project gestolen.

Nader onderzoek van GitGuardian naar de aanval wijst uit dat de aanval echter breder is en niet alleen FastUUID raakt. In totaal zijn 827 repositories van 327 GitHub-gebruikers getroffen. Naar schatting zijn daarbij zo'n 3.325 secrets gestolen.

Reacties (5)
Reageer met quote
Vandaag, 09:48 door Anoniem
Dit kan wel eens vervelend neveneffect hebben en de images op DockerHub, PyPi etc raken.
Mogelijk alle images op die omgeving die na de hack zijn geupload als gecompromitteerd beschouwen....

Ik blijf maar even waakzaam op wat ik daar vandaan haal.
Reageer met quote
Vandaag, 11:17 door Anoniem
Is de lijst van de geinfecteerde repositories/gebruikers als gepubliceerd en zo ja, waar?
Reageer met quote
Vandaag, 11:44 door Anoniem
Door Anoniem: Is de lijst van de geinfecteerde repositories/gebruikers als gepubliceerd en zo ja, waar?
Iedereen is nog druk bezig met zijn logs checken.
Reageer met quote
Vandaag, 12:52 door Anoniem
Een supply-chain-attacker steelt inloggegevens van 827 repositories. Wat denk je dat zhij met die gegevens wil gaan doen?

Ik heb al lange tijd mijn bedenkingen gehad tegen het "automatisch" downloaden van libraries uit repositories: je weet niet welke bugs er vandaag weer in de bibliotheken geslopen zijn. Kun je ze allemaal controleren als je er 20-50 hebt? En tegenwoordig moet je ook nog verdacht zijn op meegeleverde malware!
Reageer met quote
Vandaag, 13:27 door Anoniem
Door Anoniem:
Door Anoniem: Is de lijst van de geinfecteerde repositories/gebruikers als gepubliceerd en zo ja, waar?
Iedereen is nog druk bezig met zijn logs checken.

Met een getal als 3325 lijkt het toch aardig precies in beeld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie