GitHub Actions 配置不当, 恐导致代码仓库被劫持、机密信息泄露

IT之家6月19日消息，云原生安全公司Sysdig的研究团队发现，开发者和仓库维护者配置GitHubActions不当，可能导致代码仓库被劫持及机密信息泄露的风险。

IT之家援引薄雾浓介绍，该团队指出核心问题源于对pull_request_target触发事件的滥用。与常规的pull_request事件不同，pull_request_target运行于仓库的主分支上下文，而非合并后的提交环境。

这意味着它能访问仓库的敏感机密（如API密钥）和GITHUB_TOKEN的默认读写权限，若开发者未限制权限，攻击者可能通过恶意代码注入，窃取tokens并控制仓库。

研究人员扫描数十个开源仓库后，发现多个高风险案例：

Spotipy库：在Spotify开源的Python库Spotipy中，攻击者可注入恶意Python包，窃取GITHUB_TOKEN和其他机密信息。Spotify团队已修复该漏洞。

Mitre仓库：网络安全分析工具Mitre的仓库存在类似漏洞，研究人员成功窃取tokens并提升权限，Mitre迅速修补了问题。

Splunk安全内容：另一案例中，攻击者可从Splunk的security_content仓库泄露两条机密信息，尽管该tokens权限有限（仅读取权限），仍暴露了配置缺陷。

Sysdig威胁研究主管StefanChierici指出，攻击者若能提取高权限的GITHUB_TOKEN，可篡改工作流代码、窃取所有机密甚至修改主分支文件，近乎完全控制仓库。

他强调，pull_request_target的使用存在复杂性，开发者需充分理解其安全风险，避免“盲目依赖”。尽管该功能可安全使用，但建议仅在必要时启用，并严格限制访问权限。