← Voltar ao blog

GitHub Reforça actions/checkout Contra Ataques de Pwn Request na Cadeia de Suprimentos

GitHub está reforçando a segurança da cadeia de suprimentos de software atualizando sua ação oficial actions/checkout para bloquear ataques de pwn request que exploram fluxos de trabalho pull_request_target. A atualização defensiva, efetiva em 18 de junho de 2026, impede que invasores executem código malicioso com privilégios elevados de fluxo de trabalho.

TL;DR

  • GitHub atualiza actions/checkout para bloquear padrões de ataque de pwn request que exploram gatilhos pull_request_target
  • Ataques de pwn request abusam de permissões elevadas de fluxo de trabalho para injetar código malicioso em pipelines de CI/CD
  • Novas proteções impedem que pull requests não confiáveis acessem segredos sensíveis do repositório e tokens
  • A mudança entra em vigor em 18 de junho de 2026, fortalecendo a segurança da cadeia de suprimentos para usuários do GitHub Actions

GitHub está tomando medidas proativas para proteger seu ecossistema de Actions atualizando a ação actions/checkout amplamente utilizada com proteções integradas contra ataques de pwn request. Esses ataques representam um risco significativo na cadeia de suprimentos, onde atores maliciosos criam pull requests projetados para executar código arbitrário com todos os privilégios do ambiente de fluxo de trabalho.

Os ataques de pwn request visam especificamente repositórios que usam o gatilho de fluxo de trabalho pull_request_target, que concede aos fluxos de trabalho acesso a segredos e tokens sensíveis. Ao explorar essa configuração, invasores podem comprometer dependências downstream, injetar código malicioso ou exfiltrar credenciais. A atualização defensiva do GitHub visa tornar esses ataques substancialmente mais difíceis de executar.

A versão aprimorada do actions/checkout será obrigatória a partir de 18 de junho de 2026, garantindo que equipes de desenvolvimento se beneficiem de proteções melhoradas na cadeia de suprimentos sem exigir alterações de configuração manual.

Como Ataques de Pwn Request Exploram Pipelines de CI/CD

  • Invasores criam pull requests maliciosos direcionados a repositórios configurados com gatilhos pull_request_target
  • pull_request_target concede aos fluxos de trabalho acesso a segredos do repositório, tokens e permissões elevadas
  • Código malicioso é executado com privilégios completos do fluxo de trabalho, permitindo roubo de credenciais ou comprometimento downstream
  • O risco na cadeia de suprimentos se estende além do repositório alvo para projetos dependentes e usuários

Abordagem Defensiva e Implementação do GitHub

  • O actions/checkout atualizado agora inclui lógica de correspondência de padrões para detectar e bloquear comportamentos suspeitos de pwn request
  • Mecanismos de proteção impedem que código de pull request não confiável acesse variáveis de ambiente sensíveis e tokens
  • A mudança é compatível com versões anteriores para fluxos de trabalho legítimos enquanto aumenta barreiras para padrões de ataque
  • Adoção obrigatória a partir de 18 de junho de 2026 garante postura de segurança consistente em todo o ecossistema GitHub Actions

Recomendações para Equipes de Desenvolvimento

  • Revise fluxos de trabalho pull_request_target existentes e considere migrar para alternativas mais seguras como pull_request com escopo de permissão explícito
  • Atualize actions/checkout para a versão mais recente para se beneficiar de proteções integradas
  • Implemente o princípio do menor privilégio limitando permissões de fluxo de trabalho apenas ao necessário
  • Monitore pull requests para padrões suspeitos e mantenha disciplina de revisão de código para contribuições externas

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

GitHub Reforça actions/checkout Contra Ataques de Pwn Request na Cadeia de Suprimentos — Agent Breach Blog | Agent Breach