駭客濫用GitHub個人存取權杖，竊取Actions機密憑證攻擊雲端控制平面

雲端資安業者Wiz揭露多起事件，指出駭客鎖定開發者GitHub個人存取權杖（PAT），再利用GitHub Actions機密憑證取得雲端帳號權限，讓程式碼庫中的權杖外洩升級為企業雲端環境的資安事故。

研究人員觀察到，這次分析的多起攻擊案例，多半是從取得一組具備一般開發權限的PAT開始。駭客利用這組權杖呼叫GitHub程式碼搜尋功能，在組織內檢索工作流程檔，從工作流程中Secrets呼叫語法推得正在使用的Actions Secrets名稱。Wiz統計顯示，約73%使用GitHub Actions Secrets的企業會在其中存放雲端服務憑證，讓這一步的偵察直接關聯到雲端環境安全。

在掌握Secrets名稱且PAT具備寫入權限時，攻擊者會修改或新增GitHub Actions工作流程，讓惡意程式碼在Runner上執行並使用這些機密憑證。GitHub雖會在工作流程紀錄中自動遮罩Secrets內容，但研究人員指出，實務上已有攻擊者透過編碼或轉送到外部服務等方式繞過保護，取得可直接用於雲端服務的金鑰，甚至在雲端控制平面內建立新的存取憑證，作為長期後門。

當攻擊者掌握雲端憑證後，便能離開GitHub，進入企業雲端控制平面進行橫向移動。Wiz資料顯示，約45%的組織在私有程式碼庫中存放純文字雲端金鑰，而公開儲存庫僅約8％，顯示企業過度信任私有儲存庫，一旦開發者PAT遭竊，這些機密就可能成為入侵入口。

研究人員指出，目前GitHub Enterprise稽核日誌並不會記錄程式碼搜尋API呼叫，加上具寫入權限的PAT還能刪除工作流程與執行紀錄，要是企業沒有將相關紀錄串流到集中化的稽核或事件平臺，事後往往難以完整重建攻擊時間軸與影響範圍。

要讓這類從程式碼出發，最終攻擊雲端控制平面的行為有機會在早期被發現，研究人員建議，組織應檢視PAT權限與存續時間，盤點並減少儲存在GitHub Actions與程式碼庫中的雲端憑證，同時應啟用GitHub Enterprise稽核日誌與IP追蹤設定，並將這些紀錄即時串流到集中化的稽核或事件平臺做長期留存。