The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториях"  +/
Сообщение от opennews (?), 15-Мрт-25, 15:44 
Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториях, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62892

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –4 +/
Сообщение от нейм (?), 15-Мрт-25, 15:44 
> nikitastupin

наш слон базовичок дискредитирует американский гитхаб?

Ответить | Правка | Наверх | Cообщить модератору

8. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –9 +/
Сообщение от Аноним (8), 15-Мрт-25, 16:19 
Прошу прощения, уточните пожалуйста,  а “ваш” это чей будет? Мексика, Канада, Дания… Еврозоюз? Какая-то из стран восточной Европы, граждани которой имею претензии к 🇺🇸 ?
Ответить | Правка | Наверх | Cообщить модератору

10. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +7 +/
Сообщение от Анонем (?), 15-Мрт-25, 16:37 
> Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.

Мексика, да

Ответить | Правка | Наверх | Cообщить модератору

19. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +2 +/
Сообщение от Аноним (19), 15-Мрт-25, 19:08 
Китаец Ni Kita Stu Pin.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

24. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Похожий (?), 15-Мрт-25, 19:50 
На филиппинский похоже. Сравните, всемирно известный хит: Bakit Nga Ba Mahal Kita
Ответить | Правка | Наверх | Cообщить модератору

30. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от cheburnator9000 (ok), 16-Мрт-25, 02:26 
Их имеется в виду часть граждан РФ сочувствующих кремлю.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

2. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +2 +/
Сообщение от нах. (?), 15-Мрт-25, 15:56 
Молодец, Никитос, надеюсь, товарищмаёр довольны и уже представили себя к госнаградам.

P.S. отдельно доставляет что "знающие гит" девляпсы без понятия как ты этого добился - так что можем повторить!

Ответить | Правка | Наверх | Cообщить модератору

4. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (8), 15-Мрт-25, 16:12 
А в гитхаб профиле у него звание, адрес места “службы” , герб и прапор страны?

> Штирлиц брёл по улицам тихого немецкого городка. "Ничто не выдавало в нём советского разведчика — разве что волочившийся сзади парашют да ушанка с красной звездой могли привлечь к нему внимание случайного прохожего"

Ответить | Правка | Наверх | Cообщить модератору

15. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от bonifatium (?), 15-Мрт-25, 17:17 
Никитос - просто автор дампилки памяти, которой воспользовался злоумышленник
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (16), 15-Мрт-25, 17:26 
А Никитоса к Статье 272
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

23. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –2 +/
Сообщение от Аноним (23), 15-Мрт-25, 19:44 
Никтос-то тут причём? Я о нём слышал как минимум с 2018 года, легитимный ресёрчер. Вернее не совсем: на Huawei он работал. Ну раз ему так КНР мила - вот пусть туда на ПМЖ и едет. И о соц. "кредитном рейтинге" пусть обеспокоиться не забудет.
Ответить | Правка | Наверх | Cообщить модератору

27. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –2 +/
Сообщение от Аноним (27), 15-Мрт-25, 20:52 
Вы видели Китайский Дэвушка? Прекрасен что фарфоровая кукла!
i.postimg.cc/rqfNMc6h/1sppnfy.jpg
i.postimg.cc/wqLNyYPY/1uy22sc.jpg
Ответить | Правка | Наверх | Cообщить модератору

3. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +2 +/
Сообщение от Tron is Whistling (?), 15-Мрт-25, 15:58 
Лол, опять пострадали только те, кто тянул в рот всё самое неизвестное.
Ответить | Правка | Наверх | Cообщить модератору

5. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +5 +/
Сообщение от freehck (ok), 15-Мрт-25, 16:13 
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий, а в его форк (при прямом обращении через основной репозиторий в GitHub коммиты из форков остаются видимыми).

O_O

Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"?

> Примечательно, что атакующий добился добавления вредоносного коммита почти во все git-тэги и релизы проекта changed-files, без отображения в git-логе коммитов в соответствующих ветках.

Снимаю шляпу. Талантливый парень.

Ответить | Правка | Наверх | Cообщить модератору

25. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Мимоним (?), 15-Мрт-25, 19:53 
> GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов.

отсюда https://www.opennet.ru/opennews/art.shtml?num=61605

Ответить | Правка | Наверх | Cообщить модератору

31. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (31), 16-Мрт-25, 02:39 
Сама концепция гита - ущербна.
Пытался я как то небольшой репорт отправить, мне сказали,
- сделайте форк нашего проекта к себе(!),
- сделайте исправление кода у себя в форке,
- пришлите нам ваши изменения в вашем форке и мы подумаем принимать ли.
А я хотел им тупо на ошибку указать в одном месте.

Ну то весь гитхаб это есть форк форка и форком погоняет. и мне без разницы сколько раз они хранят код, тысячу или один (прописывая реляции между проектами).

Ответить | Правка | Наверх | Cообщить модератору

33. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +4 +/
Сообщение от Аноним (-), 16-Мрт-25, 11:53 
> А я хотел им тупо на ошибку указать в одном месте.

Git вообще изначально - инструмент для разработчиков. Всякие багтрекеры и проч - весьма опциональный довесок, который как таковой не часть гита.

Более того - разработчикам довольно часто не интересна информация о ошибках в чем либо кроме самой последней версии в максимально свежем состоянии. Потому что возможно они уже починили это полгода назад. Поскольку это ваша проблема - вам и разбираться как и что. Если оно вам надо. Не надо - окей, но это ВАША проблема. Свои - разработчики как правило починят сами.

А секрет прост: время разработчиков не резиновое. Вы либо подыгрываете по максимуму, экономя их время, и к вам одно отношение. Или нет - тогда отношение может быть и другое. Весьма зависит от команды и доступных им ресурсов.

Git сам по себе - к багрепортам вообще ортогонален, внезапно.

Ответить | Правка | Наверх | Cообщить модератору

38. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от нах. (?), 16-Мрт-25, 13:55 
> А секрет прост: время разработчиков не резиновое.

а мое - резиновое? Напоминаю - там человек ошибку нашел. Не свою.

> Вы либо подыгрываете по максимуму, экономя их время

им и так сэкономили дофига времени, ткнув носом в ошибку.

> Весьма зависит от команды и доступных им ресурсов.

в целом, если кому-то недостаточно issue и требуют чего-то еще - надо от этой команды и ее продукта просто держаться подальше.
Ты им и так бесплатным преальфатестером (судя по качеству кода, позволяющему кому-то в первый раз с ним встретившимся ткнуть в ошибку) поработал. Делать за них остальную их работу - какая-то совершенно неэффективная бизнес-стратегия.

> окей, но это ВАША проблема

нет, это проблема в их софте. Я ее решу выбрасыванием недоделка в помойку, а не вылизыванием всяких мест разработчику-криворучке.

А если уж создам форк - то это будет - форк. И тут уже разработчики-криворучки пусть приходят и клянчат. Ну или разбираются в собственном лапшекоде заново и ищут что я там понаисправлял (причем чтоб им не мешать - мы так не договаривались)


Ответить | Правка | Наверх | Cообщить модератору

40. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (40), 16-Мрт-25, 14:08 
> нет, это проблема в их софте.

ну так не пользуйся их софтом, напиши свой... ой, что с лицом?

Ответить | Правка | Наверх | Cообщить модератору

41. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +1 +/
Сообщение от Аноним (41), 16-Мрт-25, 15:57 
> а мое - резиновое? Напоминаю - там человек ошибку нашел. Не свою.

Это твои проблемы. Баг же - у тебя :). Как ты понимаешь, явные баги долбавшие вот именно разработчиков, в их конфигах - долго не живут.

> им и так сэкономили дофига времени, ткнув носом в ошибку.

Совсем не факт. Это могло быть починено полгода назад - и тогда это безблагодатный профак времени на какого-то овоща который сам это найти поленился. ЧСХ это довольно частая ситуация и поэтому девы вполне могут оптимизнуть свое время за счет такого нерюха.

Это такой базовый протокол взаимодействия разработчиков. Подразумевается что репортер проверит свой трабл на чем-то уровня git master. Если там проблема тоже есть - окей, велкам, а если ты еще и фикс знаешь, или бисект сделал и проч - будут на руках носить. За вот именно экономию времени и возможность выкатить дешево и сердито радикальный фикс. И вот так можно получить фикс на крутой баг быстро и эффективно. И с помощью зала. Но вот этот опыт очень зависит от понимания этого топика.

> в целом, если кому-то недостаточно issue и требуют чего-то еще - надо от этой
> команды и ее продукта просто держаться подальше.

Так тебя ж никто под дулом пулемета не загонял юзать их продукт? Или как это выглядело? Эти господа вообще так по дефолту тебе ничем не обязаны. Это ж тебе от них чего-то надо, например - продукт, а чего доброго еще и фиксы.

Не надо? Оки, а о чем тогда разговор? Это взаимодействие свободных людей. Не нравится одной из сторон - наши дорожки расходятся, гудбай.

> Ты им и так бесплатным преальфатестером

Только если это был git master или эквивалент. Иначе это мало кому интересно. Раскапывать починено ли это полгода назад - время жрет. Но ты можешь проплатить проекту пару триажеров багов, кто ж откажется?! Они это разрулят в лучшем виде тогда, за тебя. Но ожидать что такой объем по дефолту за тебя кто-то иной сделает - ага, ща.

> нет, это проблема в их софте.

Или нет. Может они ее полгода назад починили уже. А у тебя версия годичной давности и ты приполз - делать мозг. Ни на что.

> Я ее решу выбрасыванием недоделка в помойку, а не вылизыванием всяких
> мест разработчику-криворучке.

И, собственно, что разработчик теряет от этого?

> А если уж создам форк - то это будет - форк.

Принцип опенсорса - форкайся наздоровье если здоровья хватает. И вот тут мы посмотрим как тебе ощущается кекс делающий мозг багом который ты полгода назад - зафиксил, но ему видите ли вломы git master взять и проверить.

> (причем чтоб им не мешать - мы так не договаривались)

Вы и правда ни о чем не договаривались. Но при сильной двиергенции форка от апстрима работенки подвалит почему-то таки - тебе :)

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

47. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от пох. (?), 17-Мрт-25, 00:18 
> Как ты понимаешь, явные баги долбавшие вот именно разработчиков,
> в их конфигах - долго не живут.

еще как живут. Годами.
(достаточно вспомнить баг который разработчики net/3 "ловили всем аулом" ГООООД - а там не какие-то мелочи, там kernel panic был)

> Вы и правда ни о чем не договаривались. Но при сильной двиергенции форка от апстрима
> работенки подвалит почему-то таки - тебе :)

от криворучек не желающих признавать собственные ошибки и исправлять их - не подвалит.

Ответить | Правка | Наверх | Cообщить модератору

7. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +6 +/
Сообщение от Аноним (7), 15-Мрт-25, 16:15 
> Подобные коммиты могут свидетельствовать о добавлении не в основной репозиторий

То-есть мерзкософт с своими типа-ништяками - довел инфраструктуру до состояния когда даже не знает откуда им прилетело? И эти люди лезут учить других на тему supply chain с своими 2FA?

Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором  –2 +/
Сообщение от Аноним (31), 16-Мрт-25, 13:44 
Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором  +/
Сообщение от Аноним (42), 16-Мрт-25, 16:04 
Ответить | Правка | Наверх | Cообщить модератору

39. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –1 +/
Сообщение от нах. (?), 16-Мрт-25, 13:57 
да-да, это ж они написали р-опую vcs в которой подмена истории не катастрофа с записью во все логи, а рутинная операция. Ой, нет. Ее б-жок с пальцем наляпал задней левой ногой.

Ему не жмет, у него на локалхосте никто форсед пуш кроме него не сделает.

А что вы жрете с лопаты любой навоз лишь бы забесплатно - тоже корпорация зла виновата.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

43. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (42), 16-Мрт-25, 16:07 
> да-да, это ж они написали р-опую vcs в которой подмена истории не
> катастрофа с записью во все логи, а рутинная операция. Ой, нет.
> Ее б-жок с пальцем наляпал задней левой ногой.

В этой DVCS самой по себе всего вон того - вообще нет. Факапище чисто в майкрософтовском обесе :D. Тут совсем не отмажешься.

> Ему не жмет, у него на локалхосте никто форсед пуш кроме него не сделает.

Зато у майкрософт индусы которые сперва накодят ништяков - потом с удивлением узнают что оказывается эвон как можно было. Где были пм и архитекты кхе-кхе "решения" мы вообще тактично помолчим. Видимо - еще чистили индийский сортир, а i++ итерация собеса только через недельку.

> А что вы жрете с лопаты любой навоз лишь бы забесплатно -
> тоже корпорация зла виновата.

Вот не надо грязи в женской бане, я уже забыл кренделя на гитхап. Так что не жру.

Ответить | Правка | Наверх | Cообщить модератору

46. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от нах. (?), 16-Мрт-25, 20:28 
> В этой DVCS самой по себе всего вон того - вообще нет.

А в ней своего вообще ничего нет. Поделка для локалхоста с подделкой историй, ни авторизации, ни логинга, ни разделения прав, нихрена. Потому что подельщик не умел и не хотел учиться.

И исправить ничего не получится, хоть microsoft, хоть архангел Гавриил - потому шта савместимасть.

> Вот не надо грязи в женской бане, я уже забыл кренделя на гитхап. Так что не жру.

так твой код и не нужен никому.

Ответить | Правка | Наверх | Cообщить модератору

9. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (8), 15-Мрт-25, 16:26 
> Ничего себе! То есть человек может сделать форк моего проекта, закоммитить туда объект, а затем скачивать его "типа из моего проекта"?

да, это называется Open Sources, т.е. программное обеспечение с открытым исходным кодом, а гитхаб продемонстрировал беспрецедентную открытость!

Ответить | Правка | Наверх | Cообщить модератору

12. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от 12yoexpert (ok), 15-Мрт-25, 16:50 
какому идиоту в принципе пришло в голову использовать js на сервере? электричество бесплатное?
Ответить | Правка | Наверх | Cообщить модератору

17. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (16), 15-Мрт-25, 17:33 
Когда создавался GitHub (тот ещё первозданный, настоящий) ещё не модно было.
Ответить | Правка | Наверх | Cообщить модератору

35. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (31), 16-Мрт-25, 13:47 
Хочешь подскажу одну завирусованную помойку с js на стороне сервера? (SJedoN)
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

21. "Компрометация GitHub Actions-обработчика changed-files, прим..."  –1 +/
Сообщение от Аноним (23), 15-Мрт-25, 19:21 
Пофиг, third party (не от самого гитхаба и не от себя, любимого) Github Actions обычно по тегам гвоздями прибивают (это если не делать  свой форк). Как раз от такого.
Ответить | Правка | Наверх | Cообщить модератору

26. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (26), 15-Мрт-25, 20:17 
Тэги перебиваются на раз-два, git push —tags —force
Ответить | Правка | Наверх | Cообщить модератору

36. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (31), 16-Мрт-25, 13:47 
Нет тегов - нет уязвимости!
(мем с умным негром.)
Ответить | Правка | Наверх | Cообщить модератору

22. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (23), 15-Мрт-25, 19:41 
>\{"value":"[^"]*","isSecret":true\}'

Молодцы, GitHub, все секреты промаркировали в JSON, чтобы их удобнее извлекать было.

Ответить | Правка | Наверх | Cообщить модератору

37. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (31), 16-Мрт-25, 13:49 
Как уже сказали чуть выше  - там погромист особо "одаренный".
Ответить | Правка | Наверх | Cообщить модератору

45. "Компрометация GitHub Actions-обработчика changed-files, прим..."  +/
Сообщение от Аноним (45), 16-Мрт-25, 20:02 
Извините, но я не понял вот эту часть

> и обновления всех тегов в родительском репозитории с учётом нового SHA-хэша форка.

Понятно, что он сделал форк и залил туда вирьё. Но как он обновил тэги в основном репе? У тебя же должен быть доступ, чтоб запушить или сменить тэги.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру