Код • Редакція PROEVERYTHING • 2026-05-30 09:37 • Читати оригінал на Techradar • 2 хв читання • 6

CISA попереджає про атаки на GitHub Actions і VS Code

Американське агентство з кібербезпеки CISA опублікувало екстрене попередження про серію активних атак на ланцюги постачання програмного забезпечення, що використовують GitHub-репозиторії та розширення для VS Code. Зловмисники скомпрометували системи розробників Nx, через що вдалося заразити пристрій одного зі співробітників GitHub за допомогою підробленого розширення Nx Console для Visual Studio Code. Паралельно тривала кампанія Megalodon, у межах якої хакери впроваджували шкідливі workflow-файли GitHub Actions для крадіжки секретів CI/CD-пайплайнів, хмарних облікових даних і токенів доступу. Серед скомпрометованих даних — API-ключі, токени Amazon Web Services, Google Cloud Platform і Microsoft Azure, SSH-ключі, облікові дані Docker, npm, PyPI, Vault, Terraform і Kubernetes, а також токени GitHub, GitLab і Bitbucket. CISA закликала організації негайно провести аудит workflow-файлів і активності контрибуторів, відкотити несанкціоновані зміни та ротувати всі секрети. Як практичний захід агентство рекомендує зачекати щонайменше 3 години після публікації нового пакету перед його підтягуванням, щоб дати спільноті час виявити підозрілі коміти. Атаки демонструють, як зловмисники системно експлуатують інструменти DevOps, хмарні середовища та механізми CI/CD, що стали критичною вразливою точкою сучасної розробки.

Колонка редакції

У продакшні я б негайно переглянув усі workflow-файли, особливо ті, що мають доступ до environment secrets. Megalodon наочно показав: довіряти GitHub Actions без пінування версій дій — це запрошення для атаки. Три години затримки перед підтягуванням пакету — мінімальна гігієна, яку більшість команд ігнорує через зручність. Maintenance-cost від одного такого інциденту перекриє роки заощадженого часу.

#CISA #кібербезпека #GitHub Actions #VS Code #ланцюги постачання #DevOps #CI/CD

CISA попереджає про атаки на GitHub Actions і VS Code — ілюстрація до новини в рубриці «Код» · Джерело зображення: Techradar

За даними Techradar, Агентство з кібербезпеки та захисту інфраструктури США (CISA) випустило офіційне попередження щодо одночасно активних атак на ланцюги постачання програмного забезпечення. Під удар потрапили інструменти, якими щодня користуються тисячі розробників по всьому світу: розширення VS Code, GitHub Actions і CI/CD-пайплайни корпоративного рівня.

Механіка атак: від розширення до хмарних секретів

Перший вектор атаки пов'язаний з Nx Console — популярним розширенням для Visual Studio Code. Зловмисники скомпрометували внутрішні системи розробників Nx, після чого через отруєне розширення змогли захопити пристрій співробітника GitHub. Це відкрило доступ до внутрішніх репозиторіїв і дозволило витягнути чутливі дані з приватних сховищ. Ключова особливість цього вектора — використання довіреного каналу розповсюдження: розширення надходило через офіційний маркетплейс, тому звичайні засоби верифікації його не відсіяли.

Паралельно тривала кампанія Megalodon, у межах якої хакери вручну або автоматизовано впроваджували шкідливі workflow-файли у GitHub Actions. Ці файли виконувались у контексті CI/CD-пайплайнів і непомітно зливали секрети оточення назовні. CISA підкреслює, що обидві атаки об'єднує одна логіка: замість прямого злому цільової системи зловмисники отруюють інструменти та процеси, яким розробники беззастережно довіряють.

Що саме було вкрадено

CISA перераховує широкий спектр скомпрометованих облікових даних. Серед них:

API-ключі та токени хмарних провайдерів: Amazon Web Services, Google Cloud Platform, Microsoft Azure
SSH-ключі та токени репозиторіїв: GitHub, GitLab, Bitbucket
Облікові дані реєстрів: Docker, npm, PyPI
Токени інфраструктурних інструментів: Vault, Terraform, Kubernetes
Секрети CI/CD-пайплайнів і внутрішні developer-секрети

Такий набір дає зловмиснику повний контроль над хмарною інфраструктурою жертви, можливість публікувати заражені пакети від імені легітимних авторів і поширювати атаку далі по ланцюгу постачання.

Рекомендації CISA: що робити прямо зараз

Агентство наполегливо рекомендує організаціям, які виявили ознаки компрометації, провести форензик-аналіз логів CI/CD, хмарних аудит-журналів і робочих машин розробників. Усі секрети, до яких мав доступ скомпрометований пайплайн, слід негайно відкликати і перевипустити. Для превентивного захисту CISA пропонує три конкретні заходи: моніторинг і аудит усіх workflow-файлів та активності контрибуторів з відкатом несанкціонованих змін; фіксація пакетів на конкретних перевірених версіях і підтягування винятково з довірених джерел; витримка мінімум 3 годин після публікації нового пакету перед його використанням, щоб дати спільноті час виявити шкідливі коміти. Системний характер цих атак і географічна ненаправленість кампанії Megalodon свідчать про те, що будь-яка організація, яка використовує GitHub Actions або сторонні VS Code-розширення без суворого контролю, залишається потенційною ціллю.

Контекст для України

Для українських розробників, особливо тих, хто працює у розподілених командах або на іноземних замовників через Upwork і Toptal, ці атаки особливо актуальні: доступ до хмарної інфраструктури клієнта через скомпрометований CI/CD може коштувати не лише проекту, а й репутації. Спільнота DOU вже обговорювала аналогічні кейси з отруєними npm-пакетами. Варто переглянути власні пайплайни до того, як це зробить хтось інший.

Свіжі новини у нашому Telegram

Отримуйте миттєві сповіщення про нові публікації в рубриці «Код»

@procodeandevenmore