Comments 9
...в репозиторий changed‑files было подставлено изменение...
Всегда удивляли такие выражения, типа как-то само получилось.
Who is nikitastupin? Он автор этого изменения, или его взломали?
Судя по всему он просто автор скрипта memdump.py, написанного в рамках исследования, который заюзали атакующие
| sudo python3 |
Вот так просто sudo без пароля? Где так можно?
Кмк благодаря криворукости писателей это сработает только если sudo предварительно сломано.
В CI runner Github Actions так можно. Иначе невозможно было бы устанавливать пакеты в ОС, например.
Ужасно. Вместо разрешить apt-get install, они на всякий случай сломали всё?
В Github Actions на каждый запуск джобы создаётся чистая виртуалка из шаблона, в которой прогоняются все необходимые команды, и после завершения она удаляется. Иначе любые изменения в пакетах, файловой системе и т.п. могли бы попасть в CI другого репозитория, и натворить там дел. В on-premise такого может и нет, не пользовался.
Вообще странная штука, tj-actions организация на гитхабе была уже более года назад замечена в темных делишках, но почему-то ее до сих пор не заблокировали
Эмм, серьёзно? Вообще-то, там по ссылке написано, чем именно занимается tj-actions - а именно, они разрабатывают эти самые Github Actions. Никакими "тёмными делишками" там и не пахнет. Зато в статье по ссылке практически чётко описана текущая атака, как будто эту самую статью никто, кроме хакеров, не читал. Ну и вообще, классический случай "красивого и мощного современного кода, опирающегося где-то в глубине на опенсорс-проект 20-летней давности с одним единственным разрабом" =)
Выявлена компрометация обработчика changed-files в GitHub Actions, используемого в более 23 тыс. репозиториев