Primer sobre Segurança no GitHub Actions: Modelo de Ameaças, Ataques e Defesas (Parte 1/2)

16 de abril de 2026

Resumo

A Wiz mapeia o modelo de ameaças do GitHub Actions em três classes de ataque principais: configurações incorretas de pull_request_target (a classe "Pwn Request", explorada no comprometimento da cadeia de suprimentos do Trivy), onde autores de PRs de fork manipulam artefatos em checkout para obter execução com segredos da branch base; injeção de script via valores de contexto controlados pelo usuário não sanitizados, como github.event.issue.title ou github.head_ref, injetados em blocos run (a causa raiz do incidente Ultralytics/YOLO XMRig); e ações de terceiros comprometidas, ilustradas pelo ataque tj-actions, que encadeou quatro comprometimentos de ações sequenciais para atingir a Coinbase em 22.000 repositórios afetados. As defesas incluem evitar pull_request_target sempre que possível, vincular todas as entradas controladas pelo usuário a variáveis de ambiente intermediárias antes da execução do shell, e fixar ações de terceiros a commit SHAs em vez de tags mutáveis.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 16 de abril de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?