Un ataque de GhostAction roba 3325 secretos de proyectos de GitHub

El 2 de septiembre de 2025, un usuario de GitHub llamado Grommash9 envió un nuevo archivo de flujo de trabajo al proyecto FastUUID. El archivo, denominado "Seguridad de Acciones de GitHub", parecía similar a scripts de automatización rutinarios, pero posteriormente se descubrió que contenía código malicioso diseñado para recopilar secretos de CI/CD y enviarlos a un servidor externo.

FastUUID es una biblioteca de Python de código abierto que se utiliza para generar y trabajar con identificadores únicos universales (UUID) de manera eficiente.

Para el 5 de septiembre, investigadores de ciberseguridad de GitGuardian detectaron la actividad inusual y confirmaron que el repositorio FastUUID había sido comprometido. El flujo de trabajo contenía un comando que empaquetaba los secretos en una solicitud HTTP POST y los transmitía a un servidor alojado en 45.139.104.115 .

El token PyPI del proyecto se encontraba entre los datos exfiltrados, pero los investigadores no encontraron ninguna versión maliciosa de paquetes durante el periodo de vulnerabilidad. PyPI actuó a tiempo, bloqueando el proyecto en modo de solo lectura para evitar más abusos mientras el mantenedor eliminaba la confirmación maliciosa.

El análisis posterior de GitGuardian reveló que cientos de repositorios habían sido manipulados mediante flujos de trabajo prácticamente idénticos. La compañía ha denominado el ataque "GhostAction" como un ataque a la cadena de suministro.

Según el informe de GitGuardian compartido con Hackraed.com, 327 desarrolladores de 817 repositorios se vieron afectados y los atacantes robaron más de 3325 secretos. Estos incluían credenciales de DockerHub y tokens de GitHub para claves de publicación de npm, que podrían utilizarse indebidamente o afectar las cadenas de suministro de software.

El ataque también incluyó a atacantes que analizaron archivos de flujo de trabajo legítimos para identificar qué secretos estaban en uso y luego codificaron esos mismos nombres de secretos en sus flujos de trabajo maliciosos.

Además, cada confirmación se personalizó, ajustando el ataque a cada proyecto. El servidor de exfiltración se mantuvo constante durante toda la campaña, apuntando siempre al dominio " plesk.page ", que dejó de resolverse en la tarde del 5 de septiembre.

El equipo de GitGuardian reportó problemas directamente en cientos de repositorios comprometidos para notificar a los desarrolladores. Logró alertar a los mantenedores de 573 proyectos, mientras que otros deshabilitaron los problemas de GitHub o eliminaron el repositorio por completo. Las conversaciones con los desarrolladores afectados también confirmaron que algunos secretos fueron objeto de abuso activo, con atacantes intentando acceder a entornos de AWS y servicios de bases de datos.

El incidente afectó proyectos en varios lenguajes de programación, y se encontraron commits maliciosos de flujos de trabajo en repositorios de Python, JavaScript, Rust y Go. Además, varias empresas descubrieron que sus portafolios de SDK habían sido manipulados. Dado que los atacantes comprometieron muchos proyectos, los tokens npm y PyPI robados aún podían usarse para publicar versiones maliciosas.

Al final de la tarde del 5 de septiembre, GitGuardian notificó a GitHub, npm y PyPI sobre la campaña. Los equipos de seguridad de estas plataformas están monitoreando la publicación de paquetes sospechosos y la actividad relacionada. Hasta el momento, al menos 9 proyectos de npm y 15 de PyPI siguen en riesgo debido a tokens comprometidos, aunque aún no se han confirmado publicaciones maliciosas.

GitGuardian ha publicado indicadores de compromiso, incluido el nombre del archivo de flujo de trabajo, el mensaje de confirmación y la dirección del servidor malicioso, para ayudar a los equipos a identificar si sus proyectos se vieron afectados.

La campaña GhostAction aún está bajo investigación, pero los hallazgos actuales muestran que es uno de los mayores ataques al flujo de trabajo de GitHub hasta la fecha, que afecta a cientos de proyectos y expone miles de secretos.