‏مسموم‌سازی کش GitHub Actions: چطور از ریپوزیتوری‌ات محافظت کنی

مسموم‌سازی کش GitHub Actions (Cache Poisoning) یه حمله زنجیره‌ای‌ست که از ۲۰۲۴ پروژه‌های متن‌باز بزرگ رو هدف گرفته. ایده اصلی ساده‌ست: وقتی CI یه repo وابستگی‌ها رو نصب می‌کنه، نتیجه رو در یه «کش» با یه کلید مشخص (معمولاً هش فایل lock) ذخیره می‌کنه. مشکل اینجاست که این کش بین همه workflowها — از PR معمولی تا انتشار پکیج — به اشتراک گذاشته می‌شه و هیچ ایزولاسیون پیش‌فرضی ندارد. مهاجم اگه بتونه یه بار کد مخرب رو در این کش بنویسه، دفعه بعد که workflow انتشار اجرا می‌شه، کد مهاجم روی runner لود می‌شه — درست قبل از هر مرحله دیگه‌ای.

دو روش اصلی برای نوشتن در کش وجود داره: روش اول، نوشتن مستقیم — مهاجم یه workflow با دسترسی بالا رو فریب می‌ده تا کدش اجرا بشه (مثل pull_request_target که به PR فورک‌شده دسترسی secrets می‌ده). روش دوم، پاک‌کردن و جایگزینی — چون کش‌های موجود قابل بازنویسی نیستن، مهاجم ۱۰ گیگابایت آشغال آپلود می‌کنه تا مکانیزم LRU گیت‌هاب کش اصلی رو حذف کنه، بعد نسخه مسموم رو با همون کلید می‌نویسه. ابزار Cacheract از Adnan Khan این فرآیند رو اتوماتیک می‌کنه.