Pola Serangan Tindakan GitHub yang Hilang dari Pemindai Keamanan CI Anda
bleepingcomputer. com 8 Juli 2026 PT Shazfatech Digital Solution

Pola Serangan Tindakan GitHub yang Hilang dari Pemindai Keamanan CI Anda

Pada repositori Microsoft Azure Sentinel, Novee menunjukkan bahwa komentar pada permintaan penarikan dapat menjalankan kode penyerang anonim di CI Microsoft dan mencuri kunci Aplikasi GitHub yang tidak kedaluwarsa, yang…

3 menit baca Security 1 kali dibaca

Sumber: bleepingcomputer. com

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan keamanan siber. Pada repositori Microsoft Azure Sentinel, Novee menunjukkan bahwa komentar pada permintaan penarikan dapat menjalankan kode penyerang anonim di CI Microsoft dan mencuri kunci…

Pada repositori Microsoft Azure Sentinel, Novee menunjukkan bahwa komentar pada permintaan penarikan dapat menjalankan kode penyerang anonim di CI Microsoft dan mencuri kunci Aplikasi GitHub yang tidak kedaluwarsa, yang dikonfirmasi oleh Pusat Respons Keamanan Microsoft.

Kunci yang dicuri di sana menawarkan akses tulis yang persisten ke konten keamanan yang diandalkan oleh ribuan organisasi untuk mendeteksi serangan, dilemahkan secara diam-diam dan dikirimkan ke hilir sebagai pembaruan tepercaya.

Apache Doris memiliki jalur yang sebanding dengan pencurian kredensial, yang dikonfirmasi dan diperbaiki oleh Tim Keamanan Apache. Tiga organisasi, satu masalah komposisi, tidak ada baris kode yang dapat ditunjukkan oleh pemindai.

Sistem keamanan standar kami juga belum siap untuk hal ini. Cordyceps bukan merupakan CVE sehingga tidak pernah masuk dalam model enumerasi. Lebih jauh lagi, NIST mengakui pada bulan April 2026 bahwa mereka tidak dapat lagi memperkaya setiap CVE, dengan jumlah pengajuan yang meningkat sebesar 263% sejak tahun 2020. Risikonya semakin besar.

Perbaikan segera layak dilakukan sekarang: lebih memilih pull_request daripada pull_request_target untuk kontribusi yang tidak tepercaya, jangan pernah memeriksa kode kepala permintaan tarik di dalam alur kerja yang memiliki hak istimewa, meneruskan data peristiwa melalui variabel env yang dikutip daripada menyejajarkannya, izin default ke hanya-baca, menyematkan tindakan pihak ketiga ke penerapan SHA daripada tag bergerak, dan gerbang alur kerja yang memiliki hak istimewa di belakang persetujuan manual untuk kontributor pertama kali.

Lakukan semua itu dan Anda telah menyelesaikan soal-soal hari ini, tetapi bukan soal-soal kelas. Pola selanjutnya akan dibangun dari langkah-langkah yang benar secara individual, dan juga akan lolos pemindaian. Pengembangan yang didorong oleh AI semakin memperlebar kesenjangan tata kelola rantai pasokan perangkat lunak dan semakin cepat.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari bleepingcomputer. com