Netcrook Logo
👤 NEXUSGUARDIAN
🗓️ 07 Sep 2025  

GhostAction : Le piratage fantôme qui a dérobé 3 325 secrets à l’open source

Des centaines de projets GitHub ont été discrètement compromis lors d’une vaste attaque sur la chaîne d’approvisionnement, exposant des milliers de secrets de développeurs et ébranlant la confiance fondamentale dans l’open source.

En Bref

  • L’attaque GhostAction a compromis 817 dépôts GitHub, affectant 327 développeurs.
  • Les attaquants ont volé plus de 3 325 secrets - dont des jetons API, des identifiants et des clés de publication.
  • Du code malveillant était caché dans les workflows GitHub Actions, exfiltrant des données vers des serveurs externes.
  • Des projets en Python, JavaScript, Rust et Go ont été ciblés ; certains portefeuilles de SDK ont été entièrement altérés.
  • L’incident a été détecté et signalé par GitGuardian ; les équipes de sécurité de GitHub, npm et PyPI enquêtent toujours.

Un fantôme dans le code : déroulement de l’attaque

Un matin calme de septembre 2025, un script d’automatisation apparemment banal a été intégré au projet FastUUID - une bibliothèque qui aide les logiciels à générer des identifiants uniques. Mais derrière son nom familier, « Github Actions Security », se cachait quelque chose de bien plus sinistre. Selon GitGuardian, relayé par HackRead, ce script était en réalité un voleur de données furtif, empaquetant discrètement des secrets sensibles pour les expédier vers un serveur externe.

La brèche a été détectée pour la première fois lorsque des chercheurs en sécurité ont remarqué une activité réseau inhabituelle : des secrets, dont des jetons PyPI et des identifiants DockerHub, étaient siphonnés en arrière-plan depuis le projet. Au fil de l’enquête, il est apparu que FastUUID n’était que la partie émergée de l’iceberg. Des centaines d’autres projets - couvrant des langages de Python à Go - avaient discrètement été victimes d’attaques quasi identiques.

Ombres sur la chaîne d’approvisionnement : un nouveau risque pour l’open source

La campagne GhostAction s’inscrit dans une tendance inquiétante : des attaquants ciblant les outils mêmes auxquels les développeurs font confiance pour construire et distribuer des logiciels. En glissant du code malveillant dans les workflows GitHub Actions - des scripts automatisés qui s’exécutent dans le cloud à chaque modification du code - les attaquants ont transformé la chaîne d’approvisionnement logicielle en arme. Cela rappelle des incidents passés comme le piratage de SolarWinds, où des mécanismes de mise à jour de confiance sont devenus le cheval de Troie des attaquants.

Ce qui distingue GhostAction, c’est sa précision chirurgicale. Les attaquants ont analysé les fichiers de workflow légitimes, adaptant leur script malveillant pour imiter exactement les secrets utilisés par chaque projet. Chaque attaque était personnalisée, comme une clé passe-partout taillée sur mesure pour chaque dépôt. Les secrets volés allaient de clés API privées à des jetons de publication pour npm et PyPI, ouvrant la porte à d’autres attaques - comme le détournement de versions logicielles ou l’accès à des infrastructures cloud.

L’ampleur de la campagne est frappante. Selon le rapport détaillé de GitGuardian, plus de 3 325 secrets ont été exfiltrés depuis 817 dépôts. Certaines entreprises ont vu l’ensemble de leurs portefeuilles SDK compromis. Bien qu’aucune publication malveillante de package n’ait été confirmée durant la période de l’attaque, le potentiel d’abus en aval reste élevé - d’autant que certains jetons sont toujours à risque.

Ondes de choc : l’angle marché et géopolitique

L’attaque GhostAction met en lumière un dilemme croissant de sécurité et de marché pour l’open source. À mesure que de plus en plus d’entreprises dépendent de code communautaire, les risques d’attaques sur la chaîne d’approvisionnement se multiplient - pouvant impacter tout, des services cloud aux infrastructures critiques. Des acteurs de la sécurité comme GitGuardian et des plateformes comme GitHub s’efforcent désormais d’améliorer la détection et de limiter les conséquences, mais l’incident révèle comment un seul workflow compromis peut résonner à travers tout le paysage numérique.

Alors que les attaquants exploitent l’automatisation et les outils cloud-native, la frontière entre contributeur de confiance et acteur malveillant n’a jamais été aussi floue. L’enquête se poursuit, mais la brèche GhostAction demeure un avertissement sévère : dans l’open source, même un fantôme de vulnérabilité peut hanter des milliers de projets.

WIKICROOK

  • Workflow GitHub Actions : Les workflows GitHub Actions sont des scripts automatisés qui s’exécutent sur GitHub lors de modifications du code, couramment utilisés pour tester, construire ou déployer des logiciels.
  • Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou matériels de confiance, propageant des malwares ou vulnérabilités à de nombreuses organisations en même temps.
  • Secrets CI/CD : Les secrets CI/CD sont des identifiants sensibles, comme des clés API ou des jetons, utilisés par des systèmes automatisés pour construire et déployer des logiciels de manière sécurisée dans les pipelines DevOps.
  • Jeton PyPI : Un jeton PyPI est un mot de passe sécurisé utilisé par les développeurs pour téléverser des packages Python sur le dépôt PyPI. S’il est compromis, il peut permettre des téléversements malveillants.
  • Indicateurs de compromission (IoCs) : Les indicateurs de compromission (IoCs) sont des indices comme des noms de fichiers, adresses IP ou fragments de code qui aident à détecter si un système informatique a été compromis.
NEXUSGUARDIAN NEXUSGUARDIAN
Supply Chain Security Architect
← Back to news