Invasão no GitHub expõe milhares de senhas, chaves e tokens

Usuários do GitHub foram afetados por uma nova série de ataques, com destaque para a campanha apelidada de GhostAction, que roubou mais de 3 mil chaves, tokens e senhas. A invasão, descoberta pelo GitGuardian, começou na última sexta-feira (5) e se aproveitou de uma vulnerabilidade no projeto open-source FastUUID.


Como funcionou o ataque GhostAction?

O ataque foi iniciado por um mantenedor de projeto comprometido que inseriu um arquivo malicioso em um “commit” (registro de alteração). Esse arquivo, um fluxo de trabalho do GitHub Action, foi programado para roubar “segredos”, como tokens de acesso. O GitHub Action é um sistema de automação usado para rodar testes e publicar novas versões de código, mas, no ataque, foi usado para coletar credenciais e enviá-las para os criminosos.

As investigações revelaram que o ataque se espalhou por 817 repositórios, afetando 327 usuários e vazando 3.325 segredos. As credenciais mais roubadas foram do DockerHub, GitHub e npm, um gerenciador de pacotes para JavaScript. O caso se tornou ainda mais complexo devido ao seu potencial de “efeito dominó”, permitindo que os criminosos acessassem outros códigos e inserissem versões maliciosas em pacotes Python, ampliando a vulnerabilidade.


Outros ataques recentes ao GitHub

O GhostAction não foi o único incidente de segurança recente envolvendo o GitHub. Outros dois ataques foram confirmados:

  • Invasão da Salesloft: Em agosto, hackers do grupo UNC6395 comprometeram a conta do GitHub da empresa de soluções de vendas, Salesloft. Eles exploraram o aplicativo Salesloft Drift, que se integra ao Salesforce, para roubar tokens que permitiram o acesso a dados de clientes (CRM) de várias empresas, incluindo Cloudflare e Palo Alto Networks.
  • Malware com IA S1ngularity: Poucos dias antes do GhostAction, pesquisadores da Wiz descobriram o S1ngularity, um dos primeiros malwares a usar inteligência artificial para identificar dados sensíveis. O malware, que estava em um pacote malicioso hospedado no npm, usou modelos de IA como Claude, Gemini e Q para analisar repositórios e roubar tokens do GitHub, chaves SSH e até carteiras de criptomoedas. Em menos de uma semana, o ataque comprometeu mais de 2 mil contas e expôs 2.700 repositórios no GitHub.

Os três incidentes demonstram uma tendência perigosa: a exploração da confiança na cadeia de suprimentos de software. Projetos open-source, integrações e bibliotecas de terceiros, que parecem inofensivos, podem ser a porta de entrada para invasões em grande escala, afetando empresas e usuários em todo o mundo.