GhostAction (3 000+ secrets volés)

Point de compromission dans la chaîne Rupture · étape CI/CD

Source

amont

Dépendances

deps

Build & CI

CI/CD

Packaging

artefact

Release

provenance

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape CI/CD, propagation possible aux consommateurs. Domaines : Poste de travail, Source, Intégration, Secrets

Gravité élevé

Campagne GhostAction : plus de 3 000 secrets volés via des workflows GitHub malveillants.

327

comptes GitHub

817

dépôts touchés

3 325

secrets exfiltrés

5 sept. 2025

divulgation

En bref

Date

19/09/2025

Gravité

Élevé

Étape de la chaîne

CI/CD

Domaines SOCLE

Poste de travail+ Source, Intégration, Secrets

Que s'est-il passé ?

Contexte

Le 5 septembre 2025, GitGuardian dévoile GhostAction, une campagne de supply chain ayant compromis 327 comptes GitHub sur 817 dépôts.

Mécanisme

Les comptes compromis poussent des workflows malveillants déguisés en amélioration de sécurité (« Add Github Actions Security workflow »). Sans dépendance et en syntaxe standard, le workflow exfiltre les secrets par un curl POST à chaque push ou déclenchement manuel.

Impact

3 325 secrets exfiltrés (jetons PyPI, npm, DockerHub) vers un endpoint attaquant, l'une des plus grandes attaques GitHub Actions coordonnées, avec un risque persistant pluri-écosystèmes.

Parades

Revue obligatoire des modifications de workflow (un ajout de workflow doit alerter), permissions minimales des jetons CI, détection d'egress anormal, et rotation des secrets exposés.

Chronologie de l'attaque

5 septembre 2025

Découverte de GhostAction

GitGuardian révèle la campagne : 327 comptes et 817 dépôts compromis, 3 325 secrets exfiltrés via des workflows malveillants.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-CI-6 Action tierce non épinglée V-SEC-1 Secret en clair / fuité

La leçon à en tirer

Ce qu'il faut retenir

Épingler les actions par SHA (jamais par tag mutable) ; jetons CI scopés et courts ; allowlist d'actions.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 19 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Intégration SOCLE-INT-GEN-8SOCLE-INT-VER-1

Secrets SOCLE-SEC-GEN-1SOCLE-SEC-GEN-2SOCLE-SEC-INV-1SOCLE-SEC-INV-2SOCLE-SEC-INV-3SOCLE-SEC-ROT-3SOCLE-SEC-ROT-4SOCLE-SEC-STO-1SOCLE-SEC-STO-2SOCLE-SEC-STO-3SOCLE-SEC-STO-4SOCLE-SEC-STO-5SOCLE-SEC-STO-6

Source SOCLE-SRC-FRK-1SOCLE-SRC-GEN-4

Poste de travail SOCLE-WKS-DEV-2SOCLE-WKS-DEV-5

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : CI/CDLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →