Неправильная конфигурация AWS CodeBuild подвергла репозитории GitHub потенциальным атакам на цепочку поставок

Ой-ой — AWS только что исправила критическую ошибку конфигурации в CodeBuild, которая могла позволить злоумышленникам обойти проверки идентификаторов акторов GitHub и потенциально захватить четыре репозитория GitHub AWS. Это была не теоретическая уязвимость — она была активна и могла спровоцировать полномасштабные атаки на цепочку поставок.

В чём была ошибка? Неправильно настроенный вебхук в AWS CodeBuild, который не проверял должным образом идентификаторы акторов GitHub. Перевод: злоумышленники могли подделать легитимных пользователей GitHub и напрямую внедрить вредоносный код в собственные репозитории AWS. Подумайте об этом — собственный конвейер CI/CD AWS имел бэкдор.

Исследователи безопасности из Wiz обнаружили этот беспорядок и сообщили о нём в AWS в сентябре 2025 года. AWS быстро исправила это, но вот страшная часть: дело было не только в краже кода. Успешная эксплуатация могла позволить злоумышленникам внедрить вредоносное ПО в проекты AWS с открытым исходным кодом, создавая последующие атаки на цепочку поставок, затрагивающие тысячи организаций.

Вот именно поэтому специалистам по облачной безопасности необходимо проводить аудит своих конвейеров CI/CD. AWS CodeBuild должен быть безопасным по умолчанию, но это показывает, что даже крупные игроки могут ошибиться в настройке вебхуков. Исправление? AWS ужесточила проверки идентификаторов акторов — но окно уязвимости было реальным.

Итог: если вы используете AWS CodeBuild с вебхуками GitHub, дважды проверьте свои конфигурации. Эта ошибка показывает, как простая ошибка конфигурации может создать прямой путь от вашего конвейера CI/CD к вашим репозиториям исходного кода. Атаки на цепочку поставок — не просто теоретические — они начинаются с уязвимостей, подобных этой.