Ataque GhostAction rouba 3.325 segredos de projetos do GitHub
Em 2 de setembro de 2025, um usuário do GitHub conhecido como Grommash9 enviou um novo arquivo de fluxo de trabalho para o projeto FastUUID. O arquivo, denominado "Github Actions Security", parecia semelhante a scripts de automação de rotina, mas posteriormente foi descoberto que continha código malicioso projetado para coletar segredos de CI/CD e enviá-los a um servidor externo.
FastUUID é uma biblioteca Python de código aberto usada para gerar e trabalhar com identificadores universais exclusivos (UUIDs) de forma eficiente.
Em 5 de setembro, pesquisadores de segurança cibernética do GitGuardian identificaram a atividade incomum e confirmaram que o repositório FastUUID havia sido comprometido. O fluxo de trabalho continha um comando que empacotava segredos em uma solicitação HTTP POST e os transmitia para um servidor hospedado em 45.139.104.115 .
O token PyPI do projeto estava entre os dados exfiltrados, mas os investigadores não encontraram nenhum lançamento de pacote malicioso durante o período de comprometimento. O PyPI agiu a tempo, bloqueando o projeto em modo somente leitura para evitar novos abusos enquanto o mantenedor removia o commit malicioso.
A análise de acompanhamento do GitGuardian revelou que centenas de repositórios foram adulterados usando fluxos de trabalho quase idênticos. A empresa agora apelidou o ataque de "GhostAction" como um ataque à cadeia de suprimentos.
De acordo com o relatório do GitGuardian compartilhado com o Hackraed.com, no total, 327 desenvolvedores em 817 repositórios foram afetados, e os invasores roubaram mais de 3.325 segredos. Entre eles, credenciais do DockerHub e tokens do GitHub para chaves de publicação do NPM, que podem ser mal utilizados ou impactar as cadeias de suprimentos de software.
O ataque também incluiu invasores analisando arquivos de fluxo de trabalho legítimos para identificar quais segredos estavam em uso e, em seguida, codificando esses mesmos nomes secretos em seus fluxos de trabalho maliciosos.
Além disso, cada commit foi personalizado, ajustando o ataque a cada projeto. O servidor de exfiltração permaneceu consistente durante toda a campanha, sempre apontando para um domínio " plesk.page ", que parou de ser resolvido no final da tarde de 5 de setembro.
A equipe do GitGuardian levantou problemas diretamente em centenas de repositórios comprometidos para notificar os desenvolvedores. Eles conseguiram alertar os mantenedores sobre 573 projetos, enquanto outros desabilitaram problemas no GitHub ou excluíram o repositório completamente. Conversas com os desenvolvedores afetados também confirmaram que alguns segredos foram ativamente explorados, com invasores tentando acessar ambientes da AWS e serviços de banco de dados.
O incidente afetou projetos em diversas linguagens de programação, com confirmações de fluxos de trabalho maliciosos encontradas em repositórios Python, JavaScript, Rust e Go. Além disso, diversas empresas descobriram que seus portfólios de SDK inteiros foram adulterados. Como os invasores comprometeram muitos projetos, os tokens npm e PyPI roubados ainda poderiam ser usados para publicar versões maliciosas.
No final da tarde de 5 de setembro, o GitGuardian notificou o GitHub, o npm e o PyPI sobre a campanha. As equipes de segurança dessas plataformas estão monitorando publicações de pacotes suspeitos e atividades relacionadas. Até o momento, pelo menos 9 projetos do npm e 15 do PyPI permanecem em risco devido a tokens comprometidos, embora nenhum lançamento malicioso tenha sido confirmado até o momento.
O GitGuardian publicou indicadores de comprometimento, incluindo o nome do arquivo de fluxo de trabalho, a mensagem de confirmação e o endereço do servidor malicioso, para ajudar as equipes a identificar se seus projetos foram afetados.
A campanha GhostAction ainda está sob investigação, mas descobertas atuais mostram que ela é um dos maiores comprometimentos de fluxo de trabalho do GitHub até o momento, afetando centenas de projetos e expondo milhares de segredos.
HackRead
