Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), GitHub'ın en çok yıldız alan 30 bin depodaki CI/CD iş akışlarını inceledi. Son güncellemesiyle gelen özel tarama kurallarını kullanan araştırmacılar, 130 binden fazla iş akışında 250 binden fazla potansiyel hatalı yapılandırma saptadı.\n\nTespit edilen sorunların yüzde 59,8'i düşük, yüzde 39,8'i orta ve yüzde 0,4'ü yüksek risk kategorisinde yer aldı. En yaygın sorunlar arasında gereğinden fazla geniş erişim izinleri, bağımlılıkların belirli sürümlere sabitlenmemesi ve iş akışı ayarlarındaki güvenlik eksiklikleri bulundu. Detaylı incelemede sekiz depo, yazılım tedarik zincirinin ele geçirilmesine neden olabilecek kritik güvenlik sorunları barındırdığı belirlenmiştir.\n\nAraştırma, geçen yıl TeamPCP tarafından gerçekleştirilen Mini Shai-Hulud kampanyası gibi saldırılara işaret ediyor. Bu saldırıda GitHub Actions zafiyetlerinden yararlanan saldırganlar, TanStack, Mistral AI ve OpenSearch gibi projeleri etkileyen 170'ten fazla npm ve PyPI paketini ele geçirmişti.