Uma nova e sofisticada campanha de ciberataques, apelidada de ‘GhostAction’, está a abalar a comunidade de desenvolvimento no GitHub. A ofensiva já resultou no roubo de mais de 3.300 segredos, incluindo tokens de acesso e chaves de API, comprometendo centenas de projetos de software.
O alerta foi dado por investigadores da empresa de segurança GitGuardian, que identificaram os primeiros sinais do ataque no dia 2 de setembro de 2025, num projeto conhecido como FastUUID. Desde então, a escala do problema tornou-se evidente, revelando um ataque de cadeia de abastecimento (supply chain) com um alcance considerável.
Como funciona este novo ataque
O método utilizado pelos atacantes é engenhoso e explora a confiança no ecossistema do GitHub. A operação começa com o comprometimento de contas de programadores que mantêm projetos na plataforma. Uma vez com o controlo destas contas, os atacantes inserem discretamente um ficheiro malicioso no fluxo de trabalho do GitHub Actions.
Este ficheiro é programado para ser ativado automaticamente sempre que há uma nova atualização de código no projeto. Quando isso acontece, o código malicioso lê os segredos de programação guardados no ambiente do projeto — como tokens do PyPI e npm, chaves da Cloudflare e AWS, ou credenciais de bases de dados — e envia-os para um servidor externo controlado pelos atacantes.
A dimensão do problema e o impacto
A investigação da GitGuardian revelou que a campanha ‘GhostAction’ é muito mais vasta do que se pensava inicialmente. Foram identificados commits maliciosos semelhantes em, pelo menos, 817 repositórios, todos a enviar os dados roubados para o mesmo endereço.
Estima-se que um total de 3.325 segredos tenham sido comprometidos, afetando diretamente, no mínimo, nove pacotes npm e 15 pacotes PyPI. Em alguns casos, portfólios inteiros de SDKs de empresas foram atingidos, comprometendo simultaneamente os seus repositórios de Python, Rust, JavaScript e Go.
A resposta da comunidade e os próximos passos
Assim que a dimensão do ataque foi compreendida, a 5 de setembro, a GitGuardian notificou as equipas de segurança do GitHub, npm e PyPI. Além disso, foram abertos alertas em 573 dos repositórios afetados para avisar os responsáveis. Cerca de 100 dos repositórios já tinham detetado a intrusão e revertido as alterações maliciosas. Pouco depois da descoberta, o servidor para onde os dados eram enviados deixou de estar acessível.
Apesar de algumas semelhanças com o recente ataque s1ngularity, os investigadores não acreditam que as duas campanhas estejam relacionadas. O perigo, no entanto, persiste. Os responsáveis pelos projetos afetados devem revogar urgentemente todos os tokens e chaves comprometidas para evitar que os atacantes publiquem versões com malware dos seus pacotes de software.
Nenhum comentário
Seja o primeiro!