


























Xygeni 官方的 xygeni-action GitHub Action 遭遇了一起精密的供应链投毒攻击。
2026 年 3 月 3 日,攻击者利用被盗凭证绕过标准分支保护机制,将命令与控制(C2)后门注入到开发者普遍信任的版本标签中。
该漏洞编号为 CVE-2026-31976,CVSS 评分高达 9.4,对 CI/CD 流水线构成极度危险。
攻击流程如下:
攻击者先创建多个包含混淆 Shell 代码但未合并的 Pull Request。尽管分支保护规则已阻止这些 PR 合入主干,但攻击者利用泄露的 GitHub App 凭证实施了标签投毒(tag poisoning)。
报告揭露了这一技术漏洞:
攻击者将可变的 v5 标签指向了某个未合并 PR 中的恶意提交。
由于该提交仍保留在 Git 对象库中,任何引用 @v5 的工作流都会拉取并执行恶意代码,即便它从未被正式合并。
这段恶意代码伪装成无害的 “扫描器版本遥测” 步骤,旨在 CI 运行环境中实现高度隐蔽与持久化。触发后,后门按三步执行:
为进一步规避检测,该恶意程序使用随机轮询间隔、关闭 TLS 证书校验并屏蔽所有错误输出。
此次漏洞暴露窗口约 6 天,从 2026 年 3 月 3 日至 3 月 10 日。
尽管潜在危害极大,但实际影响范围相对可控。报告指出:v5 标签主要被 Xygeni 自有及关联仓库使用,目前未发现外部公共仓库受影响。
Xygeni 已删除被投毒的 v5 标签,仍引用该标签的工作流会直接报错 “reference not found”。
为恢复安全,管理员必须立即采取以下措施:
xygeni/xygeni-action@13c6ed2797df7d85749864e2cbcf09c893f43b23
91.214.78.178的连接,并核查近期构建产物是否被篡改。如需完全避开受影响的 GitHub Action,Xygeni 建议直接使用CLI 安装方式,该方式不受本次事件影响。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。