자동화된 공격이 5,700개의 악성 커밋을 GitHub 저장소에 주입했습니다.
이 기사는 자동화된 캠페인이 단 6시간 만에 5,700개의 악성 커밋을 5,561개의 GitHub 저장소에 푸시한 사건을 다룹니다. 공격자는 'build-bot', 'auto-ci', 'ci-bot', 'pipeline-bot'과 같은 무작위 이름의 계정을 사용하고, 일반적인 CI 소음과 구별할 수 없는 메시지를 사용하였습니다. 이와 같은 이벤트는 CI 워크플로우에서 보안 취약점이 존재할 수 있음을 시사합니다.
An automated attack injected 5,700 malicious commits into GitHub repositories in just six hours.
This article discusses an automated campaign that pushed 5,700 malicious commits to 5,561 GitHub repositories in just six hours. The attacker used throwaway accounts with random names like 'build-bot', 'auto-ci', 'ci-bot', and 'pipeline-bot', posting messages indistinguishable from routine CI noise. Such events highlight potential security vulnerabilities in CI workflows.