Chrome紧急修复两大高危远程代码执行漏洞|迄今最大供应链入侵:GhostAction攻击窃取GitHub中3325个机密凭证

华盟君华盟君 安全资讯 6 月前
1.17W 0
华盟原创文章投稿奖励计划

Google已针对Windows、Mac和Linux平台的Chrome浏览器发布紧急安全更新,修复了一个可能导致攻击者远程执行任意代码的高危漏洞。强烈建议用户立即更新浏览器以防范潜在威胁。
Part01

漏洞详情速览

自动草稿Part02

高危释放后使用漏洞

本次更新修复了两个重大安全缺陷,其中最严重的是CVE-2025-10200。该漏洞被评定为高危级别,属于Serviceworker组件中的"释放后使用"(Use-after-free)缺陷。

当程序尝试访问已被释放的内存时,就会触发释放后使用漏洞,可能导致程序崩溃、数据损坏,最严重情况下可被利用执行任意代码。攻击者可通过构造恶意网页来利用此漏洞,当用户访问该网页时,攻击者便能在受害者系统上运行恶意代码。

安全研究员Looben Yang于2025年8月22日报告了这一高危漏洞。鉴于该发现的严重性,Google向其颁发了43,000美元的漏洞赏金。

Part03

Mojo组件高危实现缺陷

本次修复的第二个漏洞CVE-2025-10201被评定为高严重等级,属于"Mojo组件中的不当实现"。Mojo是一组用于Chromium(Chrome浏览器底层开源项目)进程间通信的运行时库。

该组件的缺陷尤为危险,因为它们可能破坏浏览器的沙箱机制——这一关键安全特性通过隔离进程来防止漏洞利用影响底层系统。Sahan Fernando和一位匿名研究员于2025年8月18日报告了该漏洞,两人共获得30,000美元赏金。

Part04

更新建议

Google正在逐步推送更新,用户也可通过以下路径手动检查并安装更新:设置 > 关于Google Chrome。浏览器将自动扫描最新版本并提示用户重启以完成更新。按照标准漏洞修复流程,Google已限制漏洞详细信息的访问权限,以防止大多数用户安装补丁前出现漏洞利用程序。

稳定版通道已更新至以下版本:

  • Windows:140.0.7339.127/.128
  • Mac:140.0.7339.132/.133
  • Linux:140.0.7339.127

此次更新正在逐步推送,预计将在未来数日乃至数周内覆盖所有用户。该补丁紧随Chrome 140初始版本发布,后者也修复了若干其他安全问题。

参考来源:

Chrome Security Update Patches Critical Remote Code Execution Vulnerability

https://cybersecuritynews.com/chrome-remote-code-execution-vulnerability/自动草稿Part01

攻击事件概述

2025年9月2日,GitHub用户"Grommash9"向FastUUID项目提交了一个标记为"Github Actions Security"的工作流文件。该文件看似常规自动化脚本,实则为收集CI/CD(持续集成/持续交付)机密凭证并发送至外部服务器的恶意代码。FastUUID是一个用于高效生成和处理通用唯一标识符(UUID)的开源Python库。Part02

攻击技术分析

9月5日,GitGuardian网络安全研究人员发现异常活动,确认FastUUID代码库已遭入侵。恶意工作流包含将机密凭证打包成HTTP POST请求并发送至45.139.104.115服务器的指令。攻击者窃取的数据包含项目PyPI(Python包索引)令牌,但调查显示入侵期间未发布恶意软件包。PyPI及时将项目设为只读模式防止进一步滥用,维护者随后删除了恶意提交。Part03

攻击规模与影响

GitGuardian后续分析显示,数百个代码库被植入几乎相同的工作流文件。该攻击被命名为"GhostAction"供应链攻击。

根据报告:

  • 涉及817个代码库中的327名开发者
  • 窃取3325个机密凭证,包括DockerHub凭据、GitHub令牌和npm发布密钥
  • 攻击者分析合法工作流文件识别在用凭证,并将这些凭证名称硬编码至恶意工作流
  • 每个提交都针对具体项目进行个性化调整
  • 数据外传服务器始终指向"plesk.page"域名(该域名于9月5日下午停止解析)

Part04

响应与补救措施

GitGuardian团队直接在被入侵代码库中创建问题通知开发者:

  • 成功提醒573个项目维护者
  • 部分项目已禁用GitHub问题功能或彻底删除代码库
  • 确认部分凭证已被滥用,攻击者尝试访问AWS环境和数据库服务

受影响项目涵盖Python、JavaScript、Rust和Go等多种编程语言,多家公司的完整SDK产品组合遭篡改。由于大量项目被入侵,被盗的npm和PyPI令牌仍可能被用于发布恶意版本。

Part05

后续防护

截至9月5日下午:

  • GitGuardian已通知GitHub、npm和PyPI平台
  • 各平台安全团队正在监控可疑软件包发布
  • 至少9个npm和15个PyPI项目因令牌泄露仍存在风险(尚未确认恶意发布)
  • GitGuardian已公布入侵指标(IoC),包括工作流文件名、提交信息和恶意服务器地址

GhostAction攻击仍在调查中,目前确认这是迄今为止规模最大的GitHub工作流入侵事件,影响数百个项目并暴露数千个机密凭证。

参考来源:

GhostAction Attack Steals 3,325 Secrets from GitHub Projects

https://hackread.com/ghostaction-attack-steals-github-projects-secrets/

文章来源:FreeBuf

本文来源FreeBuf,经授权后由华盟君发布,观点不代表华盟网的立场,转载请联系原作者。
华盟君官方
华盟君

5.57K篇文章 177.84M总阅读量

相关文章

发表回复