Codfish/semantic-release-action GitHub Action 遭供应链投毒
安全研究人员发现,Codfish/semantic-release-action 这个 GitHub Action 被攻击者入侵并植入恶意代码,导致使用该 Action 的 CI/CD 流水线面临供应链安全风险。攻击者通过向 Action 中注入恶意脚本,窃取环境变量中的密钥和敏感信息。该项目已被 GitHub 暂停,建议所有受影响用户立即审计并轮换暴露的凭据。
背景速读
- **Codfish 的 semantic-release-action** 是一个在 GitHub Actions 生态中广泛使用的第三方动作(action),用于自动化 npm 等软件包的版本发布流程。Semantic-release 是一套遵循语义化版本规范的自动化发布工具。
- **供应链攻击**:攻击者获得了该仓库的维护权限,篡改了 action 的代码,使其在 CI/CD(持续集成/持续部署)执行时窃取环境变量(如 NPM_TOKEN、GITHUB_TOKEN 等敏感凭证),并上传到攻击者控制的服务器。
- 这是典型的**开源供应链投毒**事件:开发者信任的第三方工具被恶意修改,所有使用该 action 的项目在下次运行 CI 时都会自动执行恶意代码。受影响范围包括使用了 Codfish 版本(而非官方 semantic-release 版本)的 GitHub 仓库。
- 事件暴露了 GitHub Actions 生态的脆弱性:第三方动作(特别是分叉或非官方维护的版本)缺乏代码审计和签名验证,是攻击者的高价值目标。