Komoly károkat okozott a GhostAction
Az első jelek akkor jelentek meg, amikor feltörték a FastUUID nevű GitHub-projekt szerzőjének fiókját, és egy rosszindulatú Actions workflow-t tettek közzé. Ez a workflow arra szolgált, hogy titkos adatokat gyűjtsön különböző helyekről, így többek között a PyPI-ról, az npm-ről, a DockerHubról, a GitHubról, a Cloudflare-ről és az AWS-ről. A kutatók jelentették az esetet a PyPI-nak, mire a projektet csak olvashatóvá tették, majd a valódi tulajdonos visszaszerezte a fiókot, és törölte a rosszindulatú kódot.
Tömeges adatszivárgás
Az elemzés után kiderült, hogy 327 GitHub-fiók esett áldozatul, összesen 3325 titok került illetéktelen kezekbe. A 817 érintett projektből 100 már visszavonta a káros változtatásokat, a többinél a GitGuardian figyelmeztetést adott ki, segítve a kárenyhítést. Végül sikerült leállítani azt a szervert is, ahova az ellopott adatok kerültek.
Külön támadás az NPM-en
Eközben a s1ngularity nevű npm-támadás több mint 2000 GitHub-fiókot érintett, szintén számos fiók jelszavát és projekt titkait szivárogtatva ki. Bár időben egybeestek, a vizsgálatok szerint a GhostAction és a s1ngularity támadás két különálló eset volt, felhasználói átfedés nélkül. Az érintett fejlesztőknek érdemes minden API-kulcsot és jelszót lecserélniük.
