CISA предупредило о волне атак на цепочки поставки разработки: злоумышленники охотятся за токенами и ключами через компрометацию CI/CD и популярные инструменты разработчиков. Разбираем, что произошло и что проверить в первую очередь, чтобы не потерять доступы к облаку и репозиториям.
Американское агентство CISA выпустило предупреждение для команд разработки и безопасности: за последние недели участились атаки, которые бьют не по продакшену напрямую, а по «входу в него» — репозиториям, пайплайнам и рабочим машинам разработчиков.
Две схемы, одна цель: украсть секреты
В предупреждении CISA упоминаются две кампании, которые хорошо показывают, как сегодня ломают компании «через разработку».
1) Подмена GitHub Actions в тысячах репозиториев (Megalodon).
По описанию CISA, злоумышленники внедряли вредоносные workflow-файлы GitHub Actions более чем в 5 500 открытых репозиториев. Основная ставка — проекты со слабой защитой веток (например, когда изменения в основной ветке проходят без строгого ревью). Результат таких атак предсказуем: утечка облачных учетных данных, API‑токенов, SSH‑ключей и других секретов, которые CI/CD хранит ради автоматизации.
2) Компрометация через расширение Nx Console для Visual Studio Code.
Отдельный эпизод связан с вредоносной версией расширения Nx Console (18.95.0). Оно оказалось доступно в Visual Studio Marketplace примерно 18 минут, после чего было снято с публикации. В альтернативном каталоге OpenVSX та же версия продержалась дольше — около 36 минут. Инцидент получил идентификатор CVE-2026-48027.
Опасность подобных атак в том, что расширение IDE — это «привилегированный сосед» разработчика: оно может запускать процессы, читать файлы проекта и смотреть на окружение. В разборе инцидента указано, что вредоносный вариант расширения был нацелен на сбор учетных данных из распространенных источников (например, токенов, конфигов и ключей, которые часто оказываются на рабочей машине при ежедневной разработке), а затем пытался вывести их наружу. По данным расследования авторов, публичные цифры загрузок выглядели небольшими, но внутренняя аналитика расширения указывала на тысячи активаций (порядка 6 000), то есть реальный охват мог быть заметно выше, чем кажется по счетчикам витрины.
Почему это важно не только корпорациям
Даже небольшая команда обычно хранит в CI/CD «золотую связку» доступа: токены к GitHub, ключи к облаку, секреты деплоя, доступ к контейнерному реестру, интеграции со Slack/почтой, иногда — ключи к продовым базам «на время миграции» (которые потом забывают убрать).
Когда злоумышленник забирает эти секреты, ему уже не нужно «ломать сервер». Он может действовать как легальный процесс: запускать сборки, читать приватные репозитории, публиковать артефакты, подмешивать код в релизы, разворачивать инфраструктуру в облаке за ваш счет. Это и есть современная атака на цепочку поставки — максимально тихая и экономная по усилиям.
Что проверить прямо сейчас: короткий чек‑лист
В своих рекомендациях CISA предлагает сфокусироваться на проверке изменений и признаков компрометации в контурах разработки:
- Просмотрите workflow-файлы и активность в репозиториях — особенно изменения, появившиеся после 18 мая 2026. Ищите неожиданные правки в GitHub Actions, подозрительные pull request’ы и прямые коммиты (в том числе от автоматизированных аккаунтов).
- Откатите любые несанкционированные изменения и зафиксируйте, кто и как их внес (понадобится для разбора причин).
- Если есть подозрение на компрометацию, проведите форензик‑проверку: журналы CI/CD, логи облака (audit trail), а также рабочие станции разработчиков.
- Срочно ротируйте/отзывайте секреты: токены, ключи, SSH‑доступы и любые секреты, связанные с пайплайнами сборки и деплоя.
Отдельно стоит проверить, не устанавливалось ли у разработчиков расширение Nx Console версии 18.95.0 в период его кратковременной доступности, и при необходимости обновиться до исправленной версии (18.100.0 или новее) и пересоздать учетные данные, которые могли быть доступны на машине.
Практический вывод для команд
Эти инциденты подталкивают к простой дисциплине: репозиторий и пайплайн нужно защищать так же строго, как продакшен. Минимальный базовый уровень — защита веток, обязательные ревью, инвентаризация секретов и быстрый процесс их замены. А для рабочих станций разработчиков — контроль расширений IDE и внимательность к «случайным» обновлениям инструментов.
