2025年9月,GitHub社区惊现一起大规模供应链攻击事件,黑客通过名为GhostAction的恶意活动,成功窃取了3325个敏感秘密信息,包括PyPI、npm、DockerHub、Cloudflare以及AWS访问密钥等多种高危令牌。这场攻击迅速席卷817个开源代码仓库,波及多个重要软件包和项目,引发全球开发者和安全团队的高度关注。GitGuardian安全研究团队首次发现该事件的端倪,并在短时间内揭露了攻击手法与传播路径。GhostAction供应链攻击不仅暴露了开源生态系统的脆弱性,也再次凸显了软件供应链安全的紧迫性。GitHub作为全球最大的代码托管平台,其供应链被攻破对整个开源社区及下游使用者构成了极大威胁。GhostAction攻击初现端倪于2025年9月2日,当时研究团队在开源项目FastUUID中发现异常提交,这些提交由受侵害的维护者账户发起,附带恶意GitHub Actions工作流配置文件,触发条件为代码库的每次推送事件或手动启动。
恶意工作流会读取项目仓库中的GitHub Actions环境变量,提取存储的秘密信息,并通过curl POST请求将数据发送至攻击者控制的远程服务器端点"bold-dhawan[.]45-139-104-115[.]plesk[.]page"。FastUUID的PyPI令牌遭到泄露,虽未导致恶意包发布,但这已是震惊安全界的重要警告。深入调查揭示,GhostAction行动并非孤立事件,至少冲击了817个代码仓库,涉及的秘密类型涵盖PyPI、npm、DockerHub、GitHub令牌、Cloudflare API以及AWS访问密钥等多种敏感凭证。攻击者巧妙地通过遍历众多正常工作流提取有价值秘密名称,随后将这些秘密名称硬编码在恶意工作流代码中,实现多种令牌的自动盗取。相较于此前不久发生的s1ngularity攻击,GhostAction虽然在技术手法上表现出一定程度的相似性,但GitGuardian明确指出双方之间并无关联,表明供应链攻击手法持续演变,且正变得愈加复杂和隐秘。开源软件生态因其开放性而面临独特的安全风险。
供应链攻击特别针对维护者账户,通过注入恶意代码来窃取部署环境的敏感信息,既难以防范又影响广泛。GhostAction事件具体体现了攻击者如何利用合法权限进行恶意提交,以自动化手段批量盗取凭证,令安全防线形同虚设。除FastUUID外,已有至少九个npm包和十五个PyPI包直接暴露,存在被植入恶意版本的风险。GitGuardian于9月5日通报GitHub安全团队、npm及PyPI官方,并针对573个受影响仓库开设漏洞报告,助力社区及时修复。部分受影响的仓库已能探测到异常行为,并成功回退恶意修改。攻击终端随后失效,体现了事件在被发现后攻击者或被动撤退。
然而,事件的影响深远,不少企业的整套SDK产品线受到波及,涵盖Python、Rust、JavaScript及Go等语言生态,显示供应链安全问题跨语言、跨平台的普遍性。GhostAction攻击事件带来的警示尤为严重。首先,维护者账户安全亟需加强,如强制实施多因素认证、减少不必要权限、定期审计访问记录。其次,自动化持续集成/持续交付流程中,敏感信息管理应采取更为严格的隔离和最小权限原则。GitHub及各大包管理平台需提升对异常仓库活动的检测能力,及时拦截恶意工作流。社区应广泛开展安全教育,增强项目维护人员的安全意识,尤其针对供应链攻击的防范与响应流程。
此外,秘密管理工具的应用和凭证自动化轮换机制不可或缺,能最大程度降低令牌泄露所带来的二次风险。技术团队还应结合行为分析与异常检测技术,加强对代码库和CI/CD流水线的动态安全监控。GhostAction事件也促使业界重新审视开源信任模型。目前,开源项目高度依赖核心维护者,单点故障或账户被侵占带来的安全隐患极大,未来需要更多自动化审查工具、社区监督机制以及组织层面的安全策略支持。供应链透明度和溯源能力的提升,将成为抵御类似攻击的关键。总的来说,GhostAction GitHub供应链攻击不仅暴露了庞大的开源生态在现代供应链安全中的薄弱环节,也揭示了黑客正不断提升针对云端自动化环境的攻击技术。
面对越来越复杂的威胁形势,开源社区、托管平台及企业用户必须联手构筑更加坚固的安全堡垒。及时关闭泄漏渠道,快速响应安全事件,加强开发与运营环节的安全融合,将有效减少供应链攻击造成的损失。未来,随着云原生软件和自动化构建工具广泛应用,供应链安全将继续成为信息安全领域的重中之重。只有通过技术创新、组织合作和安全文化建设,才能守护开源软件的健康发展,保障数字经济的安全根基。 。
