botGitHub Actions 및 CI/CD 파이프라인의 AI 에이전트에서 발견된 PromptPwnd 취약점
Aikido Security는 GitHub Actions 및 GitLab CI/CD 파이프라인에서 AI 에이전트와 결합 시 발생하는 새로운 취약점인 'PromptPwnd'를 발견했으며, 이는 5개 이상의 Fortune 500 기업에 영향을 미쳤습니다.
CyberVeille.ch📢 Attaque supply chain contre Nx via GitHub Actions : vol de tokens npm et paquets malveillants
📝 Selon Socket, le système de build Nx a subi une **attaque de la chaîne d’approvis...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-04-attaque-supply-chain-contre-nx-via-github-actions-vol-de-tokens-npm-et-paquets-malveillants/
🌐 source : https://socket.dev/blog/nx-supply-chain-attack-investigation-github-actions-workflow-exploit
#ci_cd_security #github_actions #Cyberveille
📝 Selon Socket, le système de build Nx a subi une **attaque de la chaîne d’approvis...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-04-attaque-supply-chain-contre-nx-via-github-actions-vol-de-tokens-npm-et-paquets-malveillants/
🌐 source : https://socket.dev/blog/nx-supply-chain-attack-investigation-github-actions-workflow-exploit
#ci_cd_security #github_actions #Cyberveille
Attaque supply chain contre Nx via GitHub Actions : vol de tokens npm et paquets malveillants
Selon Socket, le système de build Nx a subi une attaque de la chaîne d’approvisionnement exploitant une vulnérabilité dans un workflow GitHub Actions, compromettant un écosystème totalisant plus de 4,6 millions de téléchargements hebdomadaires. Les attaquants ont publié des packages malveillants qui ont récolté des milliers d’identifiants, mettant en lumière des lacunes critiques de sécurité CI/CD et le risque des branches obsolètes comme vecteurs persistants. L’attaque s’est appuyée sur une injection bash via un workflow déclenché par pull_request_target avec des permissions élevées. Des titres de PR forgés comme $(echo “malicious code”) ont permis une exécution de commandes arbitraires. Les acteurs ont ciblé des branches anciennes où le workflow vulnérable subsistait, même après sa suppression de la branche master.
📢 GhostAction : attaque supply chain via GitHub Actions, plus de 3 000 secrets exfiltrés
📝 Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la cam...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-07-ghostaction-attaque-supply-chain-via-github-actions-plus-de-3-000-secrets-exfiltres/
🌐 source : https://www.stepsecurity.io/blog/ghostaction-campaign-over-3-000-secrets-stolen-through-malicious-github-workflows
#ci_cd_security #github_actions #Cyberveille
📝 Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la cam...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-07-ghostaction-attaque-supply-chain-via-github-actions-plus-de-3-000-secrets-exfiltres/
🌐 source : https://www.stepsecurity.io/blog/ghostaction-campaign-over-3-000-secrets-stolen-through-malicious-github-workflows
#ci_cd_security #github_actions #Cyberveille
GhostAction : attaque supply chain via GitHub Actions, plus de 3 000 secrets exfiltrés
Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant.
📢 L'émergence du Policy-as-Code dans la sécurité DevSecOps
📝 L'article publié par ReversingLabs met en lumière l'importance croissante du **Policy-as-Code (PaC)** comme priorité stratégique pour les organisations cherchant à automatiser l...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-05-l-emergence-du-policy-as-code-dans-la-securite-devsecops/
🌐 source : https://www.reversinglabs.com/blog/policy-as-code-secure-sdlc
#CI_CD_Security #Compliance_Automation #Cyberveille
📝 L'article publié par ReversingLabs met en lumière l'importance croissante du **Policy-as-Code (PaC)** comme priorité stratégique pour les organisations cherchant à automatiser l...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-05-l-emergence-du-policy-as-code-dans-la-securite-devsecops/
🌐 source : https://www.reversinglabs.com/blog/policy-as-code-secure-sdlc
#CI_CD_Security #Compliance_Automation #Cyberveille
L'émergence du Policy-as-Code dans la sécurité DevSecOps
L’article publié par ReversingLabs met en lumière l’importance croissante du Policy-as-Code (PaC) comme priorité stratégique pour les organisations cherchant à automatiser les contrôles de sécurité et de conformité dans les flux de travail de développement. En transformant les politiques organisationnelles en formats lisibles par machine, les équipes peuvent déplacer les vérifications de sécurité plus tôt dans le cycle de développement, améliorer la cohérence et réduire les erreurs manuelles. L’implémentation du PaC s’appuie généralement sur l’Open Policy Agent (OPA) comme moteur de politique avec le langage de politique déclaratif Rego. Les points d’intégration techniques incluent les environnements Kubernetes (avec des outils comme Kyverno), la validation de l’Infrastructure-as-Code (Terraform avec HashiCorp Sentinel), et l’application des pipelines CI/CD via des outils comme Conftest et Checkov.
📢 Meilleures pratiques pour sécuriser les secrets GitHub Actions
📝 L'article publié par StepSecurity fournit un guide complet pour les équipes de sécurité d'entreprise sur les meilleures pratiques pour sécuriser les **secret...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-04-meilleures-pratiques-pour-securiser-les-secrets-github-actions/
🌐 source : https://www.stepsecurity.io/blog/github-actions-secrets-management-best-practices
#CI_CD_Security #DevSecOps #Cyberveille
📝 L'article publié par StepSecurity fournit un guide complet pour les équipes de sécurité d'entreprise sur les meilleures pratiques pour sécuriser les **secret...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-04-meilleures-pratiques-pour-securiser-les-secrets-github-actions/
🌐 source : https://www.stepsecurity.io/blog/github-actions-secrets-management-best-practices
#CI_CD_Security #DevSecOps #Cyberveille
Meilleures pratiques pour sécuriser les secrets GitHub Actions
L’article publié par StepSecurity fournit un guide complet pour les équipes de sécurité d’entreprise sur les meilleures pratiques pour sécuriser les secrets GitHub Actions dans les workflows CI/CD. Le guide met l’accent sur des mesures de sécurité critiques telles que la rotation des secrets, l’accès le moins privilégié, les contrôles basés sur l’environnement et la gouvernance organisationnelle. Parmi les recommandations clés figurent la restriction des secrets organisationnels à des dépôts spécifiques, la mise en place de révisions obligatoires pour les secrets de production, l’évitement des secrets dans les journaux, et l’établissement d’une gestion appropriée du cycle de vie des secrets pour prévenir l’exposition des identifiants et l’accès non autorisé.