Gh Actions - Artifact Poisoning

Artifact Poisoning

कई Github Actions हैं जो अन्य रिपॉजिटरी से आर्टिफैक्ट डाउनलोड करने की अनुमति देती हैं। ये अन्य रिपॉजिटरी आमतौर पर आर्टिफैक्ट अपलोड करने के लिए एक Github Action रखती हैं जिसे बाद में डाउनलोड किया जाएगा।

यदि एक हमलावर किसी तरह Github Action को समझौता कर लेता है, तो वह अपलोड किए गए आर्टिफैक्ट को समझौता कर सकेगा, जिससे उसे अन्य वर्कफ़्लो को समझौता करने की अनुमति मिल सकती है जो इसका उपयोग करते हैं।

विभिन्न रिपॉजिटरी से आर्टिफैक्ट डाउनलोड करने का उदाहरण:

अधिक जानकारी और रक्षा विकल्पों (जैसे आर्टिफैक्ट को डाउनलोड करने के लिए हार्डकोडिंग) के लिए देखें https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust