TrivyやCheckmarxのGitHub Actionsが侵害され、CI/CDパイプラインを通じて認証情報を窃取する攻撃が連鎖的に拡大した。

攻撃者はタグ改ざんにより信頼されたアクションへ悪意コードを注入し、CIランナーのメモリやIMDSから認証情報を取得、暗号化して外部へ送信した。

さらに窃取した認証情報を使い別アクションも汚染するサプライチェーン攻撃が発生した。

従来の静的検査やドメインレピュテーションでは検知できず、挙動ベースのランタイム検知が有効であることが示された。

対策としてはシークレットローテーション、SHA固定、ネットワーク監視、IMDS制限などが重要である。