Ataque à cadeia de suprimentos compromete GitHub Actions

BR Defense Center (By River de Morais e Silva)
ataque

Um novo ataque à cadeia de suprimentos de software comprometeu o popular fluxo de trabalho do GitHub Actions, actions-cool/issues-helper, permitindo que atores maliciosos executassem código que coleta credenciais sensíveis e as exfiltra para um servidor controlado por atacantes. Segundo Varun Sharma, pesquisador da StepSecurity, todos os tags existentes no repositório foram redirecionados para um commit falso que não aparece no histórico normal do projeto. Esse commit contém código malicioso que, ao ser executado, baixa o runtime Bun JavaScript, lê a memória do processo Runner.Worker para extrair credenciais e faz uma chamada HTTPS para um domínio controlado por atacantes. Além disso, 15 tags de outra ação do GitHub, actions-cool/maintain-one-comment, também foram comprometidas com a mesma funcionalidade. O GitHub desativou o acesso ao repositório devido a uma violação dos termos de serviço, mas ainda não se sabe o que levou a essa decisão. O domínio de exfiltração observado está relacionado a uma campanha maior, Mini Shai-Hulud, que visa pacotes npm do ecossistema @antv, indicando que as atividades podem estar interligadas. A StepSecurity alerta que qualquer fluxo de trabalho que referencie a ação por versão puxará o código malicioso em sua próxima execução, a menos que esteja fixado em um SHA de commit conhecido como seguro.

Fonte: https://thehackernews.com/2026/05/github-actions-supply-chain-attack.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
19/05/2026 • Risco: CRITICO
ATAQUE

Ataque à cadeia de suprimentos compromete GitHub Actions

RESUMO EXECUTIVO
O ataque à cadeia de suprimentos comprometeu o GitHub Actions, permitindo a exfiltração de credenciais sensíveis. A relação com a campanha Mini Shai-Hulud sugere um padrão de ataque coordenado, exigindo atenção imediata das organizações que utilizam essas ferramentas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido à exfiltração de dados sensíveis e interrupção de serviços.
Operacional
Exfiltração de credenciais sensíveis de pipelines CI/CD.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

15 tags comprometidas em outra ação do GitHub. Indicador
Domínio de exfiltração relacionado a uma campanha maior. Contexto BR
Todos os tags do repositório redirecionados para um commit malicioso. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se há referências a versões comprometidas do GitHub Actions em seus fluxos de trabalho.
2 Desativar o uso das ações comprometidas até que uma solução segura seja implementada.
3 Monitorar atividades suspeitas e chamadas de saída para domínios não reconhecidos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em ferramentas amplamente utilizadas como o GitHub Actions.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD devido ao vazamento de dados.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).