FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

攻击事件概述

2025年9月2日，GitHub用户"Grommash9"向FastUUID项目提交了一个标记为"Github Actions Security"的工作流文件。该文件看似常规自动化脚本，实则为收集CI/CD（持续集成/持续交付）机密凭证并发送至外部服务器的恶意代码。FastUUID是一个用于高效生成和处理通用唯一标识符(UUID)的开源Python库。

攻击技术分析

9月5日，GitGuardian网络安全研究人员发现异常活动，确认FastUUID代码库已遭入侵。恶意工作流包含将机密凭证打包成HTTP POST请求并发送至45.139.104.115服务器的指令。攻击者窃取的数据包含项目PyPI（Python包索引）令牌，但调查显示入侵期间未发布恶意软件包。PyPI及时将项目设为只读模式防止进一步滥用，维护者随后删除了恶意提交。

攻击规模与影响

GitGuardian后续分析显示，数百个代码库被植入几乎相同的工作流文件。该攻击被命名为"GhostAction"供应链攻击。根据报告：

• 涉及817个代码库中的327名开发者
• 窃取3325个机密凭证，包括DockerHub凭据、GitHub令牌和npm发布密钥
• 攻击者分析合法工作流文件识别在用凭证，并将这些凭证名称硬编码至恶意工作流
• 每个提交都针对具体项目进行个性化调整
• 数据外传服务器始终指向"plesk.page"域名（该域名于9月5日下午停止解析）

响应与补救措施

GitGuardian团队直接在被入侵代码库中创建问题通知开发者：

• 成功提醒573个项目维护者
• 部分项目已禁用GitHub问题功能或彻底删除代码库
• 确认部分凭证已被滥用，攻击者尝试访问AWS环境和数据库服务

受影响项目涵盖Python、JavaScript、Rust和Go等多种编程语言，多家公司的完整SDK产品组合遭篡改。由于大量项目被入侵，被盗的npm和PyPI令牌仍可能被用于发布恶意版本。

后续防护

截至9月5日下午：

• GitGuardian已通知GitHub、npm和PyPI平台
• 各平台安全团队正在监控可疑软件包发布
• 至少9个npm和15个PyPI项目因令牌泄露仍存在风险（尚未确认恶意发布）
• GitGuardian已公布入侵指标（IoC），包括工作流文件名、提交信息和恶意服务器地址

GhostAction攻击仍在调查中，目前确认这是迄今为止规模最大的GitHub工作流入侵事件，影响数百个项目并暴露数千个机密凭证。

参考来源：

GhostAction Attack Steals 3,325 Secrets from GitHub Projects

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）